Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz
Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz
Leitfaden über Internet- und E-Mail-Überwachung am Arbeitsplatz
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Eidgenössischer Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragter<br />
EDÖB<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong><br />
E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong><br />
<strong>Arbeitsplatz</strong><br />
Für öffentliche Verwaltungen <strong>und</strong><br />
Privatwirtschaft<br />
Juli 2009<br />
Feldeggweg 1, 3003 Bern<br />
Tel. 031 323 74 84, Fax 031 325 99 96<br />
www.edoeb.admin.ch
Inhaltsverzeichnis<br />
<strong>Leitfaden</strong> <strong>über</strong> <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong>................................................ 1<br />
Inhaltsverzeichnis: ................................................................................................................................ 2<br />
Einleitung: Das Surfen <strong>und</strong> die <strong>Überwachung</strong>................................................................................... 4<br />
1. Die wichtigsten netzbasierten Anwendungen ................................................................... 5<br />
1.1 Anwendungen ohne inhaltliche Speicherung.......................................................................... 5<br />
1.2 Anwendungen mit inhaltlicher Speicherung............................................................................ 5<br />
2. Tangierte Interessen des Arbeitgebers .............................................................................. 6<br />
3. Technische <strong>und</strong> organisatorische Schutzmassnahmen 4 ................................................. 8<br />
4. Beim Surfen hinterlassene Spuren ................................................................................... 11<br />
5. Das Nutzungsreglement <strong>über</strong> privates Surfen <strong>und</strong> <strong>Mail</strong>en............................................. 14<br />
6. Gesetzliche Gr<strong>und</strong>lagen der <strong>Überwachung</strong> ..................................................................... 16<br />
7. Die wichtigsten rechtlichen Voraussetzungen für die <strong>Überwachung</strong> des Surfens<br />
<strong>und</strong> der E-<strong>Mail</strong>-Nutzung...................................................................................................... 18<br />
7.1 Die vorherige Information...................................................................................................... 18<br />
7.2 Die Feststellung eines Missbrauches ................................................................................... 19<br />
8. Die <strong>Überwachung</strong> des Surfens <strong>und</strong> der E-<strong>Mail</strong>-Benutzung <strong>am</strong> <strong>Arbeitsplatz</strong> ................ 20<br />
8.1 <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit <strong>und</strong> der<br />
Funktionstüchtigkeit des betrieblichen EDV-Systems .......................................................... 20<br />
8.2 <strong>Überwachung</strong> aufgr<strong>und</strong> anderer Hinweise............................................................................ 20<br />
8.3 <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der Protokollierungen....................................... 21<br />
8.4 Die <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der Surfprotokollierungen .......................... 22<br />
8.4.1 Erste Phase: Nichtpersonenbezogene <strong>Überwachung</strong> ................................................................ 22<br />
8.4.2 Zweite Phase: Personenbezogene <strong>Überwachung</strong>....................................................................... 22<br />
8.5 Die <strong>Überwachung</strong> des E-<strong>Mail</strong>-Verkehrs................................................................................ 23<br />
8.5.1 Die <strong>Überwachung</strong> des privaten e-<strong>Mail</strong>-Verkehrs.......................................................................... 23<br />
8.5.1.1 Vorgehensweise.................................................................................................................... 24<br />
8.5.2 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs........................................................ 24<br />
8.5.2.1 Die E-<strong>Mail</strong>-Verwaltung während Abwesenheiten.................................................................. 25<br />
8.5.2.2 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Angestellten....................................................... 25<br />
8.5.3 Besondere Fälle der E-<strong>Mail</strong>-<strong>Überwachung</strong> ................................................................................... 25<br />
8.6 Teleworker ............................................................................................................................ 26<br />
9. Die <strong>Überwachung</strong> im Falle einer Straftat .......................................................................... 27<br />
10. Sanktionen bei Missbrauch ............................................................................................... 28<br />
11. Ansprüche des Arbeitnehmers bei unzulässiger <strong>Überwachung</strong> ................................... 30<br />
Anhang A: Situationsschema...................................................................................................... 31<br />
Anhang B: Voraussetzungen <strong>und</strong> Ablauf .................................................................................. 32<br />
B.1 Die Voraussetzungen der <strong>Überwachung</strong> .............................................................................. 32<br />
B.2 Der Ablauf der <strong>Überwachung</strong>................................................................................................ 33<br />
B.3 Das Auswertungsverfahren................................................................................................... 34<br />
Anhang C: Musterreglement <strong>über</strong> die Surfen- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> .. 35<br />
C.1 Zweck <strong>und</strong> Geltungsbereich ................................................................................................. 35<br />
C.1.1 Zweck ................................................................................................................................................. 35<br />
C.1.2 Geltungsbereich ................................................................................................................................ 35<br />
C.2 Interessen <strong>und</strong> Risiken des Arbeitgebers <strong>und</strong> Arbeitnehmers.............................................. 35<br />
C.2.1 Interessen <strong>und</strong> Risiken des Arbeitgebers ..................................................................................... 35<br />
C.2.2 Interessen <strong>und</strong> Risiken des Arbeitnehmers .................................................................................. 35<br />
2/42
C.3 Technische Schutzmassnahmen <strong>und</strong> Protokollierungen...................................................... 36<br />
C.3.1 Technische Schutzmassnahmen.................................................................................................... 36<br />
C.3.2 Protokollierungen .............................................................................................................................. 36<br />
C.4 Nutzungsregelung ................................................................................................................. 36<br />
C.5 <strong>Überwachung</strong>sregelung ........................................................................................................ 37<br />
C.5.1 Vorrang technischer Schutzmassnahmen .................................................................................... 37<br />
C.5.2 Auswertung der Protokollierungen ................................................................................................. 37<br />
C.5.3 <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit <strong>und</strong> Funktionstüchtigkeit<br />
des betrieblichen EDV-Systems oder aufgr<strong>und</strong> anderer Hinweise ........................................... 38<br />
C.5.4 Unterscheidung zwischen private <strong>und</strong> geschäftliche E-<strong>Mail</strong>s .................................................... 38<br />
C.5.5 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs.............................................................. 38<br />
C.5.6 Die E-<strong>Mail</strong>-Verwaltung bei Abwesenheiten eines Mitarbeiters .................................................. 39<br />
C.5.7 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Mitarbeiters.............................................................. 39<br />
C.5.8 Sanktionen bei Missbrauch ............................................................................................................. 39<br />
C.5.9 Ansprüche des Mitarbeiters bei unzulässiger <strong>Überwachung</strong> durch die Firma......................... 40<br />
C.5.10 Weitere Bestimmungen.................................................................................................................... 40<br />
Anmerkungen ...................................................................................................................................... 41<br />
3/42
Einleitung: Das Surfen <strong>und</strong> die <strong>Überwachung</strong><br />
Der Einzug der neuen Technologien in die Arbeitswelt hat Produktivität <strong>und</strong> Qualität eines Unternehmens<br />
gesteigert, brachte aber gleichzeitig weniger erfreuliche Phänomene mit sich: Unerlaubtes oder<br />
<strong>über</strong>mässiges Surfen <strong>und</strong> E-<strong>Mail</strong>en während der Arbeitszeit schadet den Unternehmen nicht nur finanziell,<br />
sondern kann auch den ganzen Datenverkehr eines Betriebs lahm legen, die Speicherkapazität<br />
<strong>über</strong>fordern oder sogar den ges<strong>am</strong>ten elektronischen <strong>Arbeitsplatz</strong> blockieren. Dar<strong>über</strong> hinaus kann das<br />
Besuchen illegaler <strong>Internet</strong>seiten für das Unternehmen nicht nur rufschädigend sein, sondern auch<br />
rechtliche Konsequenzen haben. Die Schutzmassnahmen, die der Arbeitgeber gegen Missbräuche des<br />
Surfens oder des E-<strong>Mail</strong>s einsetzt, sind oft nicht weniger zweifelhaft. Spionprogr<strong>am</strong>me <strong>und</strong> permanente<br />
n<strong>am</strong>entliche Auswertungen der Protokollierungen sind verbotene Beschnüffelungen der Arbeitnehmer.<br />
Ein Umdenken ist gefordert: Der Arbeitgeber hat seine Bemühungen auf die technische Prävention zu<br />
konzentrieren. Statt die Arbeitnehmer zu <strong>über</strong>wachen soll er technische Schutzmassnahmen einsetzen,<br />
die unerwünschtes Surfen in Grenzen halten <strong>und</strong> das Unternehmen vor technischem Schaden schützen.<br />
Nur wenn ein Missbrauch so nicht verhindert werden kann, darf er nach vorheriger Information im <strong>Überwachung</strong>sreglement<br />
n<strong>am</strong>entliche Auswertungen der Protokollierungen vornehmen. Fehlt ein Missbrauch<br />
<strong>und</strong> eine vorherige Information, dürfen die <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Protokollierungen nur in anonymer oder<br />
pseudonymer Weise ausgewertet werden. Der Arbeitgeber muss sich aber auch die Frage stellen, ob<br />
<strong>und</strong> in welchem Umfang ein <strong>Internet</strong>zugang für jeden Arbeitnehmer notwendig ist. Gegebenenfalls kann<br />
das E-<strong>Mail</strong> ohne Surfmöglichkeit zur Verfügung gestellt werden. Es darf auf jeden Fall nicht ausser Acht<br />
gelassen werden, dass durch Verb<strong>und</strong> der Firma mit dem <strong>Internet</strong> oder E-<strong>Mail</strong> Kontakt- <strong>und</strong> Angriffsmöglichkeiten<br />
von der Aussenwelt geschaffen werden.<br />
Der Gesetzgeber hat sich mit den Rechten <strong>und</strong> Pflichten von Arbeitgeber <strong>und</strong> Arbeitnehmer in dieser<br />
Thematik bis heute kaum auseinander gesetzt. Dieser <strong>Leitfaden</strong> soll einerseits die betroffenen Personen<br />
sensibilisieren, andererseits den Gesetzgeber zur Schaffung der nötigen gesetzlichen Gr<strong>und</strong>lagen anspornen.<br />
Der <strong>Leitfaden</strong> setzt sich zunächst mit den wichtigsten netzbasierten Anwendungen, deren Spuren sowie<br />
den tangierten Interessen des Arbeitgebers <strong>und</strong> den entsprechenden technischen Schutzmassnahmen<br />
auseinander. Anschliessend werden die heutigen gesetzlichen Gr<strong>und</strong>lagen, die Voraussetzungen <strong>und</strong><br />
der Ablauf der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-<strong>Überwachung</strong> erörtert. Zum Schluss wird auf die Folgen missbräuchlicher<br />
<strong>Internet</strong>nutzungen <strong>und</strong> -<strong>über</strong>wachungen hingewiesen. Situations- <strong>und</strong> Ablaufschemas sowie ein<br />
Musterreglement im Anhang stellen die wichtigsten Punkte <strong>über</strong>sichtlich dar.<br />
4/42
1. Die wichtigsten netzbasierten Anwendungen<br />
Das <strong>Internet</strong> bietet eine Vielzahl von Anwendungen, die allgemein <strong>Internet</strong>dienste genannt werden, jedoch<br />
auch firmeninterne Netzdienste (Intranet) umfassen. Diese sogenannten netzbasierten Anwendungen<br />
können in zwei grösseren Kategorien unterteilt werden, diejenigen ohne <strong>und</strong> diejenigen mit inhaltlicher<br />
Speicherung auf einem Datenträger.<br />
1.1 Anwendungen ohne inhaltliche Speicherung<br />
Unter Anwendungen ohne inhaltliche Speicherung auf einem Datenträger fällt zunächst das klassische<br />
Surfen auf dem World Wide Web, d. h. das Sichten von Webseiten, die auf unterschiedlichen Rechnern<br />
(Web Server) abgelegt sind <strong>und</strong> <strong>über</strong> eine eigene Adresse (URL 1 ) direkt abgerufen werden können.<br />
Das Surfen ermöglicht ausserdem die Verwaltung von E-<strong>Mail</strong>s in Briefkasten (webbased E-<strong>Mail</strong>), welche<br />
bei <strong>Internet</strong>dienstanbietern (ISP: <strong>Internet</strong> Service Providers) beherbergt sind. Spezielle Suchmaschinen<br />
wie Altavista oder Google ermöglichen eine Art Volltextsuche in einer weltweiten Datenbank nach benutzerdefinierten<br />
Kriterien. Von multimedialem Surfen spricht man dann, wenn Audio- <strong>und</strong> Videoquellen<br />
sowie die Telephonie (VoIP: Voice over IP) netzbasiert sind.<br />
Die sogenannten Newsgroups stellen öffentliche Diskussionsforen dar. Sie beruhen auf dem Prinzip<br />
des «Schwarzen Bretts» <strong>und</strong> werden daher als elektronische Pinnwand bezeichnet. Alle Teilnehmenden<br />
einer Newsgroup können Nachrichten abgeben, die dann von allen <strong>Internet</strong>nutzern abgerufen, gelesen<br />
oder beantwortet werden können.<br />
Beim <strong>Internet</strong> Relay Chat (IRC) <strong>und</strong> beim Instant Messaging findet <strong>über</strong> die Tastatur des Computers<br />
ein gesprächsartiger Meinungsaustausch in Echtzeit statt. Allen Teilnehmenden des Chat wird ein N<strong>am</strong>e,<br />
meistens ein Pseudonym, zugewiesen, der es ermöglicht zu erkennen, von wem die Beiträge<br />
st<strong>am</strong>men.<br />
1.2 Anwendungen mit inhaltlicher Speicherung<br />
Bei Anwendungen mit inhaltlicher Speicherung auf einem Datenträger geht es hauptsächlich um das<br />
Herunterladen von Dateien (Download) mittels Protokollen wie HTTP oder FTP. Klassische Beispiele<br />
hierfür sind Freeware/Shareware-Anwendungsprogr<strong>am</strong>me wie Spiele oder Mediadateien (Bilder, Audio<br />
oder Video).<br />
In diese Kategorie gehört zudem das Empfangen <strong>und</strong> Versenden von Nachrichten mit elektronischer<br />
Post, dem sogenannten E-<strong>Mail</strong>. Auf diese Weise können Texte, gegebenenfalls mit angehängten Dateien<br />
aller Art, gezielt an andere Netzteilnehmende <strong>über</strong>mittelt werden.<br />
Ohne Inhaltsverschlüsselung ist die Vertraulichkeit der E-<strong>Mail</strong>s mit derjenigen einer Postkarte vergleichbar,<br />
weshalb die «sensiblen» Inhalte durch den Benutzer verschlüsselt werden müssen.<br />
Beteiligt sich der Arbeitnehmer an einer <strong>Mail</strong>ing-List mit seiner geschäftlichen E-<strong>Mail</strong>-Adresse, so wird<br />
dadurch die Speicherkapazität <strong>und</strong> den Netzwerkdurchsatz (throughput) der Firma sowie die Arbeitszeit<br />
des Arbeitnehmers beansprucht.<br />
5/42
2. Tangierte Interessen des Arbeitgebers<br />
Durch Benutzung des vernetzten Computers <strong>am</strong> <strong>Arbeitsplatz</strong> können bestimmte Interessen <strong>und</strong> technische<br />
Einrichtungen des Arbeitgebers beeinträchtigt werden. Dies betrifft folgende Bereiche:<br />
• Speicherkapazität <strong>und</strong> Netzwerkdurchsatz, durch <strong>über</strong>mässige Surfen- <strong>und</strong> E-<strong>Mail</strong>-Nutzung;<br />
• Daten- <strong>und</strong> Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit), durch Einfuhr von Viren,<br />
Würmern, Trojanischen Pferden oder Installation von fremden Progr<strong>am</strong>men;<br />
• Arbeitszeit <strong>und</strong> andere finanzielle Interessen (Produktivitätsverluste, Kostensteigerung für zusätzliche<br />
Mittel <strong>und</strong>/oder Leistungen, Netzkosten, usw.);<br />
• weitere rechtlich geschützte Interessen des Arbeitgebers, wie Ruf, Fabrikations- <strong>und</strong> Geschäftsgeheimnisse<br />
oder Datenschutz.<br />
Die Speicherkapazität wird hauptsächlich durch heruntergeladene Dateien oder E-<strong>Mail</strong>s beansprucht<br />
(vgl. Kapitel 1).<br />
In der Regel verbleiben ein- <strong>und</strong> ausgehende E-<strong>Mail</strong>s in einem elektronischen Briefkasten eines Firmenservers,<br />
wo sie der Arbeitnehmer entweder speichern oder löschen kann, nachdem er sie gelesen bzw.<br />
verschickt hat. Die Speicherung betrifft einerseits protokollierte Randdaten wie Absender, Empfänger,<br />
Betreffzeile oder Datum, anderseits den Inhalt des E-<strong>Mail</strong>s. Durch angehängte Dokumente (Anlagen)<br />
wird die Speicherkapazität der Firma zusätzlich belastet. Die (logische) Löschung von E-<strong>Mail</strong>s erfolgt<br />
durch ihre Verschiebung in den Ordner «gelöschte Objekte». Die «definitive» Entfernung aus diesem<br />
Ordner erfolgt durch einen weiteren Löschungsbefehl.<br />
Der Netzwerkdurchsatz wird hingegen sowohl bei den Anwendungen mit als auch bei denen ohne inhaltliche<br />
Speicherung beansprucht.<br />
Durch Installation fremder Progr<strong>am</strong>me wie heruntergeladene Bildschirmschoner oder Spiele können berufliche<br />
Anwendungen unzugänglich gemacht (Verfügbarkeit) oder gefälscht (Integrität/Vertraulichkeit)<br />
werden.<br />
Die Hauptkategorien von Computerinfektionen sind Viren, Würmer <strong>und</strong> Trojanische Pferde.<br />
Ein Virus ist ein Progr<strong>am</strong>mstück, das sich vervielfacht, in andere Progr<strong>am</strong>me hineinkopiert <strong>und</strong> zugleich<br />
schädliche Funktionen in einem Rechnersystem ausführen kann 2 . Viren werden von externen Quellen<br />
wie E-<strong>Mail</strong>s, Disketten, Spiele oder Freeware eingeführt. Bestimmte Virenarten zerstören beispielsweise<br />
die Integrität einer Datei, indem sie Buchstaben ändern, andere können die ges<strong>am</strong>te Datei zerstören.<br />
Dadurch kann u. U. die Funktionstüchtigkeit des Computers gefährdet werden (z. B. durch Zerstörung<br />
des Bootsektors).<br />
Ein Wurm ist ein eigenständiges Progr<strong>am</strong>m, das sich selbst durch Kopieren von einem System zum<br />
nächsten fortpflanzt, üblicherweise <strong>über</strong> ein Netzwerk. Ein Wurm kann, wie ein Virus, Daten direkt zerstören<br />
oder die Systemleistung heruntersetzen. Im weiteren schaden Würmer typischerweise, indem sie<br />
Trojanische Pferde <strong>über</strong>tragen.<br />
6/42
Mit Hilfe dieser Trojanischen Pferde können z.B. Passwörter gestohlen werden, die es dann ermöglichen,<br />
Daten unerlaubterweise anzusehen, weiterzuleiten, zu verändern oder zu löschen. Ein Trojanisches<br />
Pferd ist ein eigenständiges Progr<strong>am</strong>m, das vordergründig eine vorgesehene Aufgabe verrichtet,<br />
zusätzlich jedoch eine oder mehrere verborgene Funktionen enthält 3 . Wenn ein Benutzer das Progr<strong>am</strong>m<br />
aufruft, führt das Trojanische Pferd zusätzlich eine ungewollte sicherheitskritische Aktion aus. Die meisten<br />
Spionprogr<strong>am</strong>me (vgl. Kapitel 4) gehören auch zu den Trojanischen Pferden.<br />
Die Benutzung des Computernetzes verursacht in unterschiedlicher Weise Kosten, entweder pauschal<br />
oder zeit- <strong>und</strong>/oder volumenabhängig. Im Falle der Pauschaltariflösung (Mietleitung) spielt es für die effektiven<br />
Kosten keine Rolle, wie lange jemand surft, wohl aber im Zus<strong>am</strong>menhang mit der verwendeten<br />
Arbeitszeit. Eine erhöhte Bandbreitenkapazität kann ausserdem erforderlich sein.<br />
Weitere Kosten für den Arbeitgeber können durch die Nutzung von kostenpflichtigen Web-Angeboten<br />
entstehen, wenn der Zugriff in dessen N<strong>am</strong>en bzw. mit dessen Kreditkarte erfolgt. Arbeitnehmer können<br />
auch bewusst oder unbewusst im N<strong>am</strong>en der Firma im <strong>Internet</strong> Rechtsgeschäfte abschliessen <strong>und</strong> den<br />
Arbeitgeber dadurch verantwortlich machen.<br />
Fabrikations- <strong>und</strong> Geschäftsgeheimnisse sowie der Datenschutz der Firma können auch gefährdet<br />
werden, z. B. wenn vertrauliche Informationen per E-<strong>Mail</strong> an Unberechtigte versendet werden. Diese<br />
Gefahr wird erhöht durch den zunehmenden Einsatz von portablen Arbeitsinstrumenten wie Laptops,<br />
Personal Digital Assistants oder Handys. Die nachstehend erwähnten technischen Schutzmassnahmen<br />
finden bei diesen Geräten nur beschränkte Anwendung. Zusätzlich besteht die Gefahr, Geschäftsgeheimnisse<br />
zu verlieren, da tragbare Geräte leicht vergessen oder gestohlen werden können.<br />
7/42
3. Technische <strong>und</strong> organisatorische Schutzmassnahmen 4<br />
Es gibt keine absolute technische Sicherheit. Technische Schutzmassnahmen (vgl. Anhang A) können<br />
jedoch die Risiken im Zus<strong>am</strong>menhang mit der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Nutzung reduzieren.<br />
Durch den Einsatz von solchen Schutzmassnahmen soll der Arbeitgeber frühzeitig mögliche Gefahren<br />
für die Sicherheit <strong>und</strong> Funktionstüchtigkeit des elektronischen Systems verhindern. Die präventive Wirkung<br />
dieser Massnahmen soll den Einsatz repressiver Mittel wie die <strong>Überwachung</strong> (vgl. Kap. 8) weitgehend<br />
ersetzen. Zu den wichtigsten technischen Schutzmassnahmen gehören Passwort- <strong>und</strong> Zugriffsschutz,<br />
Antivirus- <strong>und</strong> Diskquot<strong>am</strong>anagers, Backups <strong>und</strong> Firewalls. Zusätzlich sollen die Surf- <strong>und</strong> <strong>Mail</strong>progr<strong>am</strong>me<br />
nach dem letzten Stand der Technik 5 installiert <strong>und</strong> in einer sicherheitsmässigen Form konfiguriert<br />
<strong>und</strong> regelmässig aktualisiert werden 6 .<br />
Das Passwort dient der Authentifizierung des Benutzers. Als solches darf es nicht Dritten <strong>über</strong>tragen<br />
werden, muss eine genügende Komplexität aufweisen <strong>und</strong> regelmässig geändert werden. Der Passwortschutz<br />
wird nach Ablauf einer bestimmten, beschränkten Dauer (z. B. fünf Minuten) durch den Bildschirmschoner<br />
aktiviert, um eine Reauthentifizierung zu provozieren. In Anbetracht der Vielzahl Passwörter,<br />
welche von einem einzigen Benutzer memorisiert werden müssen, ist die Benutzung einer verschlüsselten<br />
Passwortdatenbank statt einer Passwortliste in Papierform zu empfehlen. Solche Softwarelösungen<br />
sind heutzutage geläufig. Das Passwort zum Einstieg in die Passwortdatenbank muss durch<br />
den Benutzer memorisiert werden.<br />
Der Zugriffsschutz besteht in der benutzerspezifischen Vergabe von Berechtigungen (Lesen, Schreiben/Mutieren,<br />
Ausführen, Löschen) zu schützenswerten Daten oder Objekten. In der Praxis wird eine<br />
Matrix geschaffen, welche für jedes Datenobjekt <strong>und</strong> jede Benutzerrolle die entsprechenden Zugriffsberechtigungen<br />
definiert. Die Zugriffsrechte sind arbeitnehmerspezifisch <strong>und</strong> werden durch die dafür Verantwortlichen<br />
(in der Regel Vorgesetzte oder Te<strong>am</strong>chefs) vergeben. Die Zugriffsrechte werden dann<br />
durch den Systemadministrator oder einen anderen mit dieser Aufgabe beauftragten Arbeitnehmer im<br />
System implementiert.<br />
Für besonders schützenswerte Daten (Art. 3 lit. c Datenschutzgesetz, DSG, SR 235.1) ist <strong>über</strong>dies eine<br />
Verschlüsselung empfehlenswert. Diese dient dazu, die Vertraulichkeit <strong>und</strong> Integrität der Daten zu gewährleisten.<br />
Die symmetrische Kryptographie benutzt den gleichen Schlüssel sowohl für die Verschlüsselung<br />
als auch für die Entschlüsselung. Der Schlüssel setzt einen sicheren Austauschkanal voraus<br />
<strong>und</strong> gilt bei einer Mindestlänge von 128 bits heutzutage als sicher. Im Gegensatz dazu benutzt die<br />
asymmetrische Kryptographie einen öffentlichen (frei zugänglichen) Schlüssel für die Verschlüsselung<br />
<strong>und</strong> einen privaten (passwortgeschützten) Schlüssel für die Entschlüsselung der Daten. Überdies wird<br />
der private Schlüssel für die elektronische Unterschrift <strong>und</strong> der öffentliche Schlüssel für die Verifizierung<br />
der Integrität <strong>und</strong> Herkunft der Daten verwendet. Die asymmetrische Kryptographie setzt eine Public-Key<br />
Infrastruktur (PKI) zur Zertifizierung der öffentlichen Schlüssel voraus <strong>und</strong> gilt bei einer Mindestlänge der<br />
Schlüsselpaare von 1024 bits heutzutage als sicher.<br />
Das kryptographische Verfahren kann nur so sicher wie die Schlüssel selber sein. Werden die Schlüssel<br />
unsicher aufbewahrt, gilt das darauf basierende kryptographische Verfahren auch als unsicher.<br />
Die Verschlüsselung ist nicht nur für die Übertragung (SSL, WEP, usw.), sondern auch für die Speicherung<br />
der ausgetauschten Daten empfehlenswert. Der Austausch von verschlüsselt gespeicherten Daten<br />
setzt keinen verschlüsselten Übertragungskanal mehr voraus. Bei verschlüsselt gespeicherten Daten<br />
besteht aber das Risiko, dass sie nicht jederzeit entschlüsselt werden können (z. B. Passwort- <strong>und</strong>/oder<br />
Schlüsselverlust, Abwesenheit des Schlüsselinhabers).<br />
8/42
Deswegen ist das Bedürfnis eines zusätzlichen Entschlüsselungsschlüssels (Additional Decryption Key<br />
[ADK] <strong>und</strong> Corporate Message Recovery Key [CMRK]) abzuklären <strong>und</strong> allenfalls den Interessierten mitzuteilen.<br />
Die Datenverschlüsselung wird immer mehr als Ergänzung der gewöhnlichen Zugriffsberechtigungen<br />
angewendet. Unter diesen Umständen verfügen die Systemadministratoren nicht mehr unbedingt <strong>über</strong><br />
alle Berechtigungen.<br />
Ohne Verschlüsselung entspricht die Vertraulichkeit eines E-<strong>Mail</strong>s derjenigen einer Postkarte.<br />
Antivirusprogr<strong>am</strong>me ermöglichen, Viren aufzuspüren <strong>und</strong> in der Regel auch zu entfernen. Sie müssen<br />
den aktuellen Virendatenbanken der neusten Softwareversion entsprechen <strong>und</strong> auf jedem <strong>Arbeitsplatz</strong><br />
aktiv sein. Bei der Benutzung von internetbasierten E-<strong>Mail</strong>-Diensten muss das Antivirusprogr<strong>am</strong>m auf<br />
dem Computer des Arbeitnehmers installiert werden, da eine Überprüfung des E-<strong>Mail</strong>-Inhaltes erst beim<br />
Endbenutzer technisch möglich ist. Bei der Benutzung von internetbasierten E-<strong>Mail</strong>-Diensten wird die<br />
Gefahr der Virusinfektion nicht bedeutend grösser als bei der Benutzung des geschäftlichen E-<strong>Mail</strong>-<br />
Progr<strong>am</strong>mes.<br />
Lizenzierte, richtig installierte Antivirusprogr<strong>am</strong>me der letzten Generation lassen sich oft via <strong>Internet</strong> automatisch<br />
aktualisieren. Wenn es technisch nicht möglich ist, einen Virus zu entfernen, gestattet die regelmässige<br />
Datensicherung auf Backups die Wiederherstellung virenfreier Dateien. Zu bemerken ist,<br />
dass Antivirusprogr<strong>am</strong>me per Definition keine absolute Sicherheit gegen<strong>über</strong> Angriffe anbieten. Deshalb<br />
sind auch weitere Schutzmassnahmen wie Spyware Blaster, Detector empfehlenswert.<br />
Diskquot<strong>am</strong>anagers sind Progr<strong>am</strong>me, welche im Betriebsystem installiert werden <strong>und</strong> die Speicherkapazität<br />
(Files <strong>und</strong> <strong>Mail</strong>boxes) jedes Benutzers begrenzen. Dies führt zu einer Selbstbeschränkung, da<br />
eine Erweiterung des Speicherraumes begründet werden muss. Durch Diskquotas werden unnötige Überlastungen<br />
der Speicherkapazität vermieden, womit eine Intervention des Arbeitgebers in diesen persönlichen<br />
Räumen nicht mehr notwendig ist. Im Gegensatz zu Diskquotas eignet sich die Sperrung von<br />
E- <strong>Mail</strong>s mit einer bestimmten Grösse als technische Schutzmassnahme kaum, da sie durch Aufteilen<br />
der betreffenden E-<strong>Mail</strong>-Anlagen leicht umgangen werden kann. Die Diskquotas sind arbeitnehmerspezifisch<br />
<strong>und</strong> werden durch die dafür Verantwortlichen (in der Regel Vorgesetzte oder Te<strong>am</strong>chefs) vergeben.<br />
Sie werden dann durch den Systemadministrator implementiert.<br />
Backups dienen der raschen <strong>und</strong> möglichst vollständigen Wiederherstellung verloren gegangener Daten.<br />
Die entsprechenden Datenträger müssen (brand-, wasser-, strahlungs-, diebstahls-) sicher <strong>und</strong> während<br />
einer bestimmten, zum Voraus festgelegten Dauer aufbewahrt werden. Backups stellen eine Protokollierung<br />
dar <strong>und</strong> sollten somit nur mit Vorsicht ausgewertet werden.<br />
Backups des E-<strong>Mail</strong>-Servers sind nicht empfehlenswert, da dadurch auch private E-<strong>Mail</strong>s tangiert werden<br />
können. Deshalb sind private E-<strong>Mail</strong>s auf einem anderen Datenträger zu speichern, d<strong>am</strong>it Backups<br />
problemlos vorgenommen werden können.<br />
Firewalls schützen die eigenen Daten vor externen Angriffen 7 <strong>und</strong> verhindern, dass Netzwerkbandbreite<br />
<strong>und</strong> Arbeitszeit <strong>über</strong>mässig beansprucht werden. Sie werden meist auf Netzebene zwischen <strong>Internet</strong>,<br />
Intranet <strong>und</strong> gegebenenfalls einer «demilitarisierten» Zone (DMZ, wo sich die firmeninternen <strong>Internet</strong>server<br />
befinden) eingesetzt <strong>und</strong> filtern den Datenverkehr in beide Richtungen nach USERID, IP-Adresse<br />
oder Applikationsprotokolle 8 . Die Konfiguration des Firewalls ist komplex, setzt spezifische Kenntnisse<br />
voraus <strong>und</strong> darf nur durch Fachleute durchgeführt werden. Die Firewall kann mit einer sogenannten<br />
Sperrliste erweitert werden. Diese enthält unerwünschte, vom Hersteller oder vom Arbeitgeber definierte<br />
URLs. Eine andere Möglichkeit besteht in einer Positivliste, die lediglich diejenigen <strong>Internet</strong>-Adressen<br />
elektronisch freigibt, die notwendig sind, um die Aufgaben für die Firma zu erfüllen.<br />
9/42
Als Ergänzung zu den genannten Hardware-Firewalls werden heute auch bei den einzelnen Arbeitsstationen<br />
sogenannte Personal Firewalls in Softwareform installiert. Da diese technischen Schutzmassnahmen<br />
eine absolute Sicherheit nicht gewährleisten können, werden oft sogenannte Intrusion Detection<br />
Systems (IDS) sowohl auf Netz- als auch auf Server-, gegebenenfalls auf Client-Ebene eingesetzt. Der<br />
Einsatz eines solchen Systems unterstützt die Aufdeckung von Missbräuchen oder Attacken. Der Einsatz<br />
von wissensbasierten IDS ist jedoch ein Zeichen der erkannten Unwirks<strong>am</strong>keit der getroffenen Sicherheitsmassnahmen.<br />
Für das Herunterladen von Dateien durch FTP, HTTP oder E-<strong>Mail</strong>-Anhänge kann sich die Sperrung<br />
auch auf bestimme Dateiformate (.EXE, MP3, .BAT, usw.) beziehen. Die Wirks<strong>am</strong>keit solcher Sperrungen<br />
muss jedoch relativiert werden, da gewisse Formate, wie z. B. die komprimierte Archivdatei. ZIP, in<br />
der Regel selber nicht gesperrt sind, aber gesperrte Dateiformate enthalten können.<br />
Der Einsatz eines Modems bei einer laufenden Arbeitsstation kann die ganze Firewallsicherheit umgehen,<br />
indem sich ein Fremdbenutzer ins Firmennetz unbefugterweise <strong>und</strong> unbemerkt einschleust. Ohne<br />
genügende Schutzmassnahmen kann die Firewallsicherheit heutzutage auch durch Einsatz drahtloser<br />
Verteiler (Wireless Access Points) umgangen werden. Es empfiehlt sich demzufolge, die Daten<strong>über</strong>mittlung<br />
mittels WEP-Protokoll (Wired Equivalent Privacy) oder WPA-Protokoll (Wi-Fi Protected Access) zu<br />
verschlüsseln.<br />
Durch den Einsatz angemessener technischer Schutzmassnahmen sollten nur selten konkrete technische<br />
Störungen vorkommen.<br />
10/42
4. Beim Surfen hinterlassene Spuren<br />
Die meisten modernen, gemeins<strong>am</strong> benutzten Informatikmittel (z. B. Server, Datenbanken oder Drucker)<br />
führen ein Logbuch (Protokollierungen) <strong>über</strong> die wichtigsten durchgeführten Aktivitäten durch (vgl. Anhang<br />
A).<br />
Die Spuren, die bei der Benutzung netzbasierter Anwendungen hinterlassen werden, bestehen in der<br />
Regel lediglich aus Randdaten wie «wann hat wer was getan» <strong>und</strong> eher selten aus reinen Inhaltsdaten.<br />
Unter Protokollierung versteht man eine fortlaufende Aufzeichnung dieser Daten. Ob Protokollierungen<br />
eingesetzt werden dürfen, wer <strong>und</strong> wie lange darauf Zugriff hat, muss nach den Kriterien der Zweck- <strong>und</strong><br />
Verhältnismässigkeit entschieden werden. Ein Hinweis auf jede eingesetzte Protokollierung, deren<br />
Zweck, Inhalt <strong>und</strong> Aufbewahrungsdauer sollte aus Transparenzgründen im internen <strong>Überwachung</strong>sreglement<br />
erwähnt werden. Wenn präventive Massnahmen den Schutz sensibler Personendaten nicht gewährleisten,<br />
können Protokollierungen notwendig sein (Art. 10 Verordnung zum Datenschutzgesetz,<br />
VDSG, SR 235.11).<br />
Weiter ist zu bemerken, dass Protokollierungen bedarfsspezifisch konfiguriert werden können. Typischerweise<br />
werden die Protokollierungen vom Systemadministrator auf eine niedrige Stufe konfiguriert,<br />
um die Menge der protokollierten Daten einzudämmen. Erst wenn detailliertere Informationen nötig sind<br />
(z. B. im Falle einer Systemstörung), wird die Konfigurationsstufe für die entsprechende, zeitlich beschränkte<br />
Periode erhöht. Da Protokollierungen beträchtliche Grössen annehmen, können sie kaum ohne<br />
automatisierte Verfahren ausgewertet werden (vgl. Kapitel 8.1).<br />
Da die Protokolle in der Regel schnell sehr gross werden, ist es empfehlenswert, automatische Auswertungstools<br />
mit anonymisiertem Ergebnis vorzusehen. Dar<strong>über</strong> hinaus sind personenbezogene Protokollierungen<br />
als Datens<strong>am</strong>mlungen gemäss Art. 11 DSG beim Eidg. Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragten<br />
anzumelden. Private Personen oder Firmen müssen die Protokollierungen nur anmelden, wenn<br />
für das Bearbeiten keine gesetzliche Pflicht besteht <strong>und</strong> die betroffenen Personen davon keine Kenntnis<br />
haben. Die Aufbewahrungsdauer der Protokollierungen steht in direktem Zus<strong>am</strong>menhang mit ihrem<br />
Zweck <strong>und</strong> muss im Nutzungs- <strong>und</strong> <strong>Überwachung</strong>sreglement transparent mitgeteilt werden. Dem Arbeitgeber<br />
obliegt keine gesetzliche Aufbewahrungspflicht im Zus<strong>am</strong>menhang mit Protokollierungen. Im<br />
Rahmen von Sanktionsverfahren oder Strafverfolgungen dürfen sie bis zu deren Beendigung aufbewahrt<br />
werden. Sonst sind Protokollierungen in der Regel nach Ablauf von vier Wochen zu vernichten.<br />
Die für die <strong>Überwachung</strong> des Arbeitnehmers relevanten Protokollierungen können hauptsächlich an vier<br />
verschiedenen Stellen stattfinden: Auf dem Computer des Benutzers, auf Intranet-Servern, auf Netzkopplungselementen<br />
<strong>und</strong> auf DMZ-Servern (vgl. Anhang A).<br />
Die bei <strong>Internet</strong>-Dienstanbietern bestehenden Protokollierungen können im Falle einer Straftat <strong>und</strong> unter<br />
richterlicher Entscheidung untersucht werden. Überdies kann eine Inhaltsaufnahme angeordnet werden.<br />
Auf dem Computer des Benutzers können durch den unzulässigen Einsatz von sogenannten Spionprogr<strong>am</strong>men<br />
9 (vgl. Kapitel 6) sämtliche Aktivitäten festgehalten werden. <strong>Überwachung</strong>sprogr<strong>am</strong>me werden<br />
in der Regel ohne Information der betroffenen Personen eingesetzt <strong>und</strong> ermöglichen eine permanente<br />
<strong>und</strong> detaillierte <strong>Überwachung</strong> sämtlicher Aktivitäten des Arbeitnehmers an seinem elektronischen <strong>Arbeitsplatz</strong>.<br />
Insbesondere gestatten sie die Einsicht in E-<strong>Mail</strong>s, indem diese registriert <strong>und</strong> dann an eine<br />
Drittadresse weitergeleitet werden. Auch das «Fotographieren» bzw. «Kopieren» des Bildschirms in regelmässigen<br />
Zeitabständen (recurrent screenshots) mit seinem ges<strong>am</strong>ten Inhalt (z. B. <strong>Internet</strong>seiten)<br />
gehört zu den Fähigkeiten von Spionprogr<strong>am</strong>men. Das Erfassen sämtlicher Tastenschläge (z. B. durch<br />
Einsatz eines Hardware Keylogger), das Erlangen von Passwörtern, die Ansicht sämtlicher aktiver An-<br />
11/42
wendungen, der Zugriff auf die Festplatte des PC, das Abhören von abgespielten Audiodateien <strong>am</strong> PC,<br />
usw. sind weitere Fertigkeiten solcher Progr<strong>am</strong>me. <strong>Überwachung</strong>sprogr<strong>am</strong>me ermöglichen auch die<br />
Speicherung der erlangten Aufnahmen <strong>und</strong> Informationen. Eine weitere Bearbeitung dieser Daten, z. B.<br />
in Form einer Datenbekanntgabe an Dritte, ist möglich.<br />
Die beim Surfen abgerufenen oder heruntergeladenen Informationen werden meist nur temporär auf der<br />
lokalen Festplatte gespeichert. Diese temporäre Speicherung (Cache) wird aber nicht vom Benutzer,<br />
sondern von der Anwendung aus Leistungsgründen ausgelöst. Sowohl diese temporäre Dateien als<br />
auch permanente Randdaten wie «Cookies», Verlauf <strong>und</strong> Autovervollständigungsdaten können vom Benutzer<br />
gesperrt oder gelöscht werden, um einen persönlichen Beitrag zum Schutz der Speicherkapazität<br />
<strong>und</strong> teilweise der eigenen Privatsphäre zu leisten. Ideal ist, wenn die temporären Dateien (Temp File)<br />
beim Schliessen des Browsers oder beim Ausschalten des Computers automatisch gelöscht werden.<br />
Auf Intranet-Servern wie Domäne-Servern besteht die Protokollierung aus Benutzern<strong>am</strong>en (wer), Datumsangaben<br />
(wann), Gegenständen <strong>und</strong> Handlungen wie Ein- <strong>und</strong> Ausloggen, Ausdrucken von Dateien,<br />
dyn<strong>am</strong>ische IP-Adressenvergabe, DNS-Adressenauflösung (Domain N<strong>am</strong>e System) <strong>und</strong> Applikationsaufruf<br />
(was). Die IP-Adressen der Benutzercomputern können entweder statisch/endgültig von einem<br />
Netzwerkadministrator oder dyn<strong>am</strong>isch/vorläufig von einem Netzwerkdienstserver vergeben werden. Im<br />
letzteren Fall befindet sich eine chronologische Korrespondenzliste zwischen vergebener IP-Adresse<br />
<strong>und</strong> eingelogtem Arbeitnehmer nur im Protokoll des DHCP-Servers (Dyn<strong>am</strong>ic Host Configuration Protocol).<br />
Missbräuchliche Aktivitäten können aber unter dem N<strong>am</strong>en/Account eines unschuldigen Arbeitnehmers<br />
von bösartigen Kollegen ausgeführt worden sein. Für solche Fälle ist in erster Linie der Arbeitnehmer<br />
für den eigenen Account verantwortlich (rasche Einschaltung des Bildschirmschoners <strong>und</strong><br />
Reauthentifizierung).<br />
Abgerufene <strong>Internet</strong>-Seiten <strong>und</strong> heruntergeladene Dateien können Gegenstand der von einem Proxy-<br />
Server verwalteten Zwischenspeicherung sein <strong>und</strong> stellen somit einen beobachtbaren Schnappschuss<br />
der letzterfolgten Surfaktivitäten dar. Jeder weitere Zugriff auf einer dieser Dateien durch andere Arbeitnehmer<br />
erfolgt direkt beim Proxy-Server. Somit erübrigt sich ein neuer Zugriff auf das <strong>Internet</strong> <strong>und</strong> die<br />
Netzbandbreite bleibt gespart. Dadurch könnte man aber die Nachvollziehbarkeit gewisser Surfaktivitäten<br />
verlieren, obschon der Proxy-Server seine eigenen Aktivitäten (Cache- <strong>und</strong> Filterfunktion) gänzlich<br />
protokollieren kann. Dabei ist zu beachten, dass eine URL ein Randdatum ist, dessen Inhalt in der Regel<br />
nachträglich wieder abrufbar <strong>und</strong> darstellbar ist.<br />
Auf Netzkopplungselementen wie Firewall oder Router werden in Prinzip eine Zeitangabe, die Quell-<br />
<strong>und</strong> Ziel-IP-Adressen, das verwendete Applikationsprotokoll wenn nicht sogar die abgerufene Seite <strong>und</strong><br />
den Benutzern<strong>am</strong>en protokolliert. Zu den Quelladressen muss man noch daran denken, dass eine NAT-<br />
Funktion (Network Address Translation) optional einsetzbar ist. Die intern verwendeten IP-Adressen<br />
werden dyn<strong>am</strong>isch in extern bekannte aber unschädliche Adressen umgewandelt, um sich vor externen<br />
Attacken zu schützen. Die Interpretation der Protokolle kann infolgedessen verkompliziert werden.<br />
Auf Netzwerkebene können sogenannte Sniffer-/Scannergeräte von einem Administrator eingesetzt<br />
werden, um eine detaillierte Abhörung der <strong>über</strong>tragenen Datenpakete (Rand- <strong>und</strong> Inhaltsdaten) zu<br />
erstellen. Eine solche Abhörung ist erst problematisch, wenn sie von einem unbefugten Benutzer (Hacker)<br />
ausgeführt wird. In jedem Fall sollten kritische Daten wie Passwörter nur in chiffrierter Form <strong>über</strong>tragen<br />
werden. Ausserdem können sogenannte (server- oder) netzbasierte Intrusion Detection Systeme<br />
(IDS) installiert werden, um vom Firewall unerkannte Attacken nachträglich abfangen zu können.<br />
Eine «demilitarizierte» Zone (DMZ) zwischen Intranet <strong>und</strong> <strong>Internet</strong> wird oft von Firewalls unterstützt,<br />
um von beiden Welten zugreifbare Server beherbergen zu können. Es geht vor allem um die Email-, File-<br />
<strong>und</strong> Webserver (bzw. Protokolle SMTP, FTP <strong>und</strong> HTTP).<br />
12/42
Auf den E-<strong>Mail</strong>-Servern werden u. A. Zeitangabe, Absender- <strong>und</strong> Empfängeradresse, Betrefftext, Priorität<br />
<strong>und</strong> Vertraulichkeit der Nachrichten protokolliert. Es kann aber nicht ausgeschlossen werden, dass<br />
weitere Informationen protokolliert werden (z. B. Anzahl Attachments, Grösse des E-<strong>Mail</strong>s, digitale Signatur,<br />
ev. auch IP-Adresse). E-<strong>Mail</strong>-Inhalte werden gr<strong>und</strong>sätzlich nicht protokolliert.<br />
Die Protokollierungseinträge sind in der Regel direkt oder indirekt (durch Verknüpfung mit der Korrespondenzliste)<br />
mit einer bestimmten Person verkettbar. Im Falle dass eine Protokollierung bekannt gegeben<br />
werden muss, ist sie mit grosser Wahrscheinlichkeit zu pseudonymisieren oder sogar repseudonymisieren<br />
(wenn die Daten nicht genug robust pseudonymisiert waren).<br />
13/42
5. Das Nutzungsreglement <strong>über</strong> privates Surfen<br />
<strong>und</strong> <strong>Mail</strong>en<br />
Ob Arbeitnehmer das Recht haben, privat <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong> zu nutzen, hängt in erster Linie vom Willen<br />
des Arbeitgebers ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses, hat er ein Weisungsrecht<br />
(Art. 321d Obligationenrecht, OR, SR 220). Wichtig ist, dass der Arbeitgeber die effektiven beruflichen<br />
Bedürfnisse seiner Arbeitnehmer differenziert <strong>über</strong>prüft, bevor er ihnen den <strong>Internet</strong>zugriff gewährt.<br />
Durch spezifische Schulung sollen die Arbeitnehmer auf die Sicherheitsgefahren bei der Benutzung<br />
netzbasierter Anwendungen sensibilisiert werden.<br />
Für den Arbeitgeber ist es rats<strong>am</strong>, eine schriftliche Weisung <strong>über</strong> die Nutzung netzbasierter Anwendungen<br />
zu erlassen, obschon dies nicht obligatorisch ist. Ein solches Nutzungsreglement (vgl. Anhang C)<br />
schafft Transparenz <strong>und</strong> Rechtssicherheit in den Beziehungen zwischen Arbeitgeber <strong>und</strong> Arbeitnehmer.<br />
Jeder Arbeitnehmer sollte daher <strong>am</strong> besten schriftlich <strong>über</strong> die Regelung informiert werden. Ein nur<br />
mündlich kommuniziertes Nutzungsreglement ist zwar ebenfalls verbindlich, kann aber im Streitfall zu<br />
Nachweisschwierigkeiten führen. Deshalb ist allen Arbeitnehmern ein schriftliches Exemplar auszuhändigen,<br />
dessen Empfang sie quittieren. Das Nutzungsreglement ist regelmässig zu <strong>über</strong>prüfen <strong>und</strong> wenn<br />
nötig anzupassen. Anpassungen sind insbesondere nötig, wenn Missbräuche festgestellt werden, die<br />
Arbeitsbedürfnisse ändern oder relevante technische Neuerungen entstehen.<br />
Die private Benutzung der netzbasierten Anwendungen wird je nach Nutzungsreglement entweder zugelassen,<br />
eingeschränkt oder ganz verboten.<br />
Eine Einschränkung kann auf unterschiedliche Weise erfolgen. Die zeitliche Begrenzung privater Surftouren,<br />
z. B. 15 Minuten pro Tag, ist aus zwei Gründen nicht wirkungsvoll: Einerseits wird der Zeitpunkt,<br />
wann eine <strong>Internet</strong>-Seite verlassen wird, in der Regel aus technischen Gründen 10 nicht protokolliert. Anderseits<br />
würde eine Protokollierung der Benutzungsdauer kaum zuverlässige Rückschlüsse auf die effektive<br />
zeitliche Beanspruchung ermöglichen, da die abgerufene <strong>Internet</strong>-Seite hinter einer anderen Applikation<br />
(z. B. dem Textverarbeitungsprogr<strong>am</strong>m) offen bleiben kann, ohne dass sie jedoch tatsächlich<br />
benutzt wird. Erst die Protokollierung einer Reihe aufeinanderfolgender <strong>Internet</strong>-Zugriffe vom selben<br />
Computer aus innerhalb einer bestimmten Zeitspanne könnte Rückschlüsse auf die tatsächliche Benutzungsdauer<br />
ermöglichen, wenn die einzelnen Zugriffe in kurzen Zeitabständen voneinander erfolgt sind.<br />
Eine absolut richtige Aussage <strong>über</strong> die Dauer der Benutzung netzbasierter Anwendungen lässt sich aber<br />
auch in solchen Fällen nicht machen, da gewisse <strong>Internet</strong>-Seiten kontinuierlich <strong>und</strong> automatisch aktualisiert<br />
werden (z. B. Newstickers bei Zeitungen oder Börsenmeldungen).<br />
Eine Einschränkung kann erfolgen durch Sperrung unerwünschter <strong>Internet</strong>angebote (Börse, elektronische<br />
Stellenanzeiger, E-Commerce-Seiten, pornographische oder rassistische Texte oder Bilder, usw.),<br />
durch Festsetzung einer bestimmten, beanspruchbaren Speicherkapazität des Servers (vgl. Kapitel 3)<br />
oder eines Zeitpunktes, ab welchem eine private Benutzung erlaubt ist (z. B. ab 18 Uhr). Möglich ist<br />
auch die Vergabe von unterschiedlichen Bandbreiten je nach Arbeitsrelevanz der abgerufenen <strong>Internet</strong>-<br />
Seiten.<br />
Die Einschränkung oder das Verbot der privaten Benutzung netzbasierter Anwendungen kann auch<br />
durch Umschreibung der zugelassenen <strong>Internet</strong>angebote erfolgen, mit einer Positivliste, die z. B. nur die<br />
Informationsbeschaffung auf <strong>Internet</strong>-Seiten offizieller Behörden erlaubt (vgl. Kapitel 3). Im Allgemeinen<br />
ist eine Surftour zulässig, wenn sie beruflichen Zwecken dient.<br />
14/42
Falls die <strong>Internet</strong>nutzung eingeschränkt ist, könnte es eine Lösung sein, wenn der Arbeitgeber – ähnlich<br />
wie beim Telefon – ein frei zugängliches <strong>Internet</strong>-Terminal zur Verfügung stellt. Die entsprechende Protokollierung<br />
darf durch den Arbeitgeber nicht eingesehen werden, wird aber aus Beweissicherungsgründen<br />
(z. B. für ein offizielles Ermittlungsverfahren) erstellt. Aus Sicherheitsgründen (vgl. Kapitel 2) empfiehlt<br />
es sich, dieses Terminal vom übrigen Firmennetz getrennt zu betreiben. Die interessierten Arbeitnehmer<br />
tragen die vollständige Verantwortung für die Sicherheit <strong>und</strong> die gesetzeskonforme Benutzung<br />
des Terminals.<br />
Wenn kein Nutzungsreglement erlassen wird, besteht Unklarheit <strong>über</strong> die Befugnis zur privaten <strong>Internet</strong>-<br />
<strong>und</strong> E-<strong>Mail</strong>-Nutzung. Gewisse Kreise vertreten die Auffassung, dass das Verbot privaten Telefonierens<br />
auf die private <strong>Internet</strong>nutzung analog anwendbar sei. Die Interessen <strong>und</strong> Mittel des Arbeitgebers müssen<br />
jedenfalls gewährleistet bleiben. Letzteres hängt mit der Sorgfalts- <strong>und</strong> Treuepflicht (Art. 321a OR)<br />
zus<strong>am</strong>men, die den Arbeitnehmer verpflichtet, die Interessen des Arbeitgebers zu wahren. Was dies im<br />
Zus<strong>am</strong>menhang mit der <strong>Internet</strong>nutzung bedeutet, hängt von den konkreten Umständen im Einzelfall ab.<br />
Die Gefahr besteht, dass der Arbeitgeber falsch beurteilt, ob eine Surftour zulässig ist.<br />
Aus diesen Gründen ist es empfehlenswert, ein schriftliches Nutzungsreglement zu erlassen. Je konkreter<br />
<strong>und</strong> klarer dieses ist, desto unmissverständlicher sind die Grenzen der erlaubten privaten <strong>Internet</strong>nutzung<br />
<strong>am</strong> <strong>Arbeitsplatz</strong>.<br />
15/42
6. Gesetzliche Gr<strong>und</strong>lagen der <strong>Überwachung</strong><br />
Die Gefahr der dauerhaften Verhaltens<strong>über</strong>wachung der Arbeitnehmer <strong>am</strong> <strong>Arbeitsplatz</strong> war 1984 Auslöser<br />
einer parl<strong>am</strong>entarischen Motion 11 <strong>über</strong> den Persönlichkeitsschutz von Arbeitnehmern. Infolge dieser<br />
Motion erliess der B<strong>und</strong>esrat eine Verordnung, welche die gezielte Verhaltens<strong>über</strong>wachung <strong>am</strong> <strong>Arbeitsplatz</strong><br />
verbietet (Art. 26 Abs. 1 Verordnung 3 zum Arbeitsgesetz, ArGV 3, SR 822.113). Sind <strong>Überwachung</strong>s-<br />
<strong>und</strong> Kontrollsysteme aus anderen Gründen erforderlich, müssen sie so gestaltet <strong>und</strong> angeordnet<br />
sein, dass sie die Ges<strong>und</strong>heit <strong>und</strong> die Bewegungsfreiheit der Arbeitnehmer nicht beeinträchtigen<br />
(Art. 26 Abs. 2 ArGV 3). Geschützt werden soll in erster Linie die Ges<strong>und</strong>heit <strong>und</strong> die Persönlichkeit der<br />
Arbeitnehmer vor ständiger, gezielter Verhaltens<strong>über</strong>wachung durch Einsatz eines <strong>Überwachung</strong>ssystems<br />
12 . Die Verhaltens<strong>über</strong>wachung ohne <strong>Überwachung</strong>ssystem fällt nicht in den Anwendungsbereich<br />
von Art. 26 ArGV 3.<br />
Im Zus<strong>am</strong>menhang mit dem Surfen <strong>und</strong> der Nutzung von E-<strong>Mail</strong> <strong>am</strong> <strong>Arbeitsplatz</strong> bedeutet dies, dass<br />
<strong>Überwachung</strong>en der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Nutzung durch ständige, personenbezogene Auswertungen<br />
der Protokollierungen nicht zulässig sind. Aus diesem Gr<strong>und</strong> dürfen auch Spionprogr<strong>am</strong>me (vgl. Kapitel<br />
4) nicht eingesetzt werden. Bei den Spionprogr<strong>am</strong>men handelt es sich um ein leistungsstarkes System<br />
zur heimlichen <strong>Überwachung</strong> des Verhaltens von Arbeitnehmern <strong>am</strong> <strong>Arbeitsplatz</strong>. Ihr Einsatz stellt sowohl<br />
eine Verletzung des Verhaltens<strong>über</strong>wachungsverbotes als auch des Gr<strong>und</strong>satzes von Treu <strong>und</strong><br />
Glaube dar.<br />
Aufgr<strong>und</strong> der vielfältigen Funktionen <strong>und</strong> Progr<strong>am</strong>mierungsmöglichkeiten der <strong>Überwachung</strong>sprogr<strong>am</strong>me<br />
kann der Eingriff in die Persönlichkeit des Arbeitnehmers u. U. noch tiefgreifender sein als durch den<br />
Einsatz einer Videok<strong>am</strong>era.<br />
Ein Beispiel von Spionprogr<strong>am</strong>men stellen sogenannte Content Scanners dar. Ein Content Scanner ist<br />
eine Software, welche die gesendeten <strong>und</strong>/oder empfangenen E-<strong>Mail</strong>s nach bestimmten vordefinierten<br />
Stichwörter auswertet <strong>und</strong> entsprechend reagiert (z. B. Sperrung, Löschung, Kopie an Systemadministrator<br />
oder gar an Vorgesetzten). Beim Content Scanner ist die Gefahr der Persönlichkeitsverletzung<br />
durch systematische Verhaltens<strong>über</strong>wachung offensichtlich. Die Wirks<strong>am</strong>keit solcher stichwortbasierten<br />
Filtrierungen ist ausserdem bestreitbar, da sie entweder zuviel oder zuwenig abwehren. Die absolute<br />
Inhaltssicherheit ist auf jeden Fall illusorisch, da z. B. die vermehrt angepriesenen verschlüsselten E-<br />
<strong>Mail</strong>s nicht analysierbar sind. Hinzu kommt, dass E-<strong>Mail</strong>s, die als privat gekennzeichnet sind, in keinem<br />
Fall inhaltlich ausgewertet werden dürfen.<br />
Das B<strong>und</strong>esgericht hat <strong>über</strong> elektronische <strong>Überwachung</strong>ssoftware noch kein Urteil gefällt.<br />
Gestattet sind permanente anonymisierte Auswertungen der Protokollierungen sowie stichprobenartige<br />
pseudonymisierte Auswertungen der Protokollierungen, um zu <strong>über</strong>prüfen, ob das Nutzungsreglement<br />
eingehalten wird (vgl. Kapitel 8.4.1.1). Solche Auswertungen dienen dazu, Beweise zu erheben, um<br />
Missbräuche sanktionieren zu können, die durch die technischen Schutzmassnahmen nicht verhindert<br />
werden konnten (z. B. Zugriffe auf <strong>Internet</strong>seiten, die nicht auf die Sperrliste der Firewall figurieren).<br />
Wenn ein Missbrauch festgestellt wird – <strong>und</strong> die Belegschaft vorher in einem <strong>Überwachung</strong>sreglement<br />
(vgl. Kapitel 7.1) informiert wurde – kann dies zu einer n<strong>am</strong>entlichen Auswertung der Protokollierungen<br />
führen.<br />
Das Verbot der Verhaltens<strong>über</strong>wachung gemäss Art. 26 ArGV3 gilt also nicht absolut. Es geht vielmehr<br />
darum, den Persönlichkeitsschutz der Arbeitnehmer <strong>und</strong> die Interessen des Arbeitgebers (vgl. Kapitel 2)<br />
gegeneinander abzuwägen. In Einzelfällen, wenn Missbräuche festgestellt werden <strong>und</strong> die entsprechen-<br />
16/42
de vorherige Information (<strong>Überwachung</strong>sreglement) besteht, dürfen personenbezogene Verhaltens<strong>über</strong>wachungen<br />
vorgenommen werden. Werden keine Missbräuche festgestellt, müssen sowohl die<br />
Gewährleistung der Sicherheit als auch die <strong>Überwachung</strong> der Einhaltung des Nutzungsreglements anonym<br />
oder pseudonym bleiben 13 .<br />
Neben Art. 26 ArGV 3 schützen auch das Datenschutzgesetz sowie Art. 328 <strong>und</strong> 328b OR die Persönlichkeit<br />
des Arbeitnehmers. Diese Bestimmungen sehen auch vor, dass der Arbeitgeber Personendaten<br />
nur unter Einhaltung des Zweckbindungs- <strong>und</strong> Verhältnismässigkeitsprinzips bearbeiten darf.<br />
Viele Arbeitgeber stellen ihren Arbeitnehmern tragbare Arbeitsinstrumente zur Verfügung. Diese sind<br />
auch von der <strong>Überwachung</strong> betroffen, was ein besonderes Problem darstellt, da diese Geräte oft auch<br />
privat benutzt werden.<br />
Der Arbeitnehmer darf vom Arbeitgeber jederzeit Auskunft dar<strong>über</strong> verlangen, ob Daten <strong>über</strong> ihn bearbeitet<br />
werden (Art. 8 Abs. 1 DSG, vgl. Kapitel 8.1.2). Dies kann sogar eine <strong>über</strong>wachungshemmende<br />
Wirkung auf den Arbeitgeber haben.<br />
Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen oder einen anderen Rechtfertigungsgr<strong>und</strong><br />
an unberechtigte Dritte bekannt gegeben werden (Art. 12 <strong>und</strong> 13 DSG). Die Arbeitskollegen<br />
der betroffenen Person gelten in Bezug auf den Datenschutz als Dritte.<br />
Sowohl die Informatikdienste bzw. die Sicherheitsbeauftragten als auch die Vorgesetzten <strong>und</strong> Personaldienste<br />
haben die Personendaten (hauptsächlich die Protokollierungen <strong>und</strong> deren Auswertungen), die<br />
sie im Zus<strong>am</strong>menhang mit einer <strong>Überwachung</strong> bearbeiten, durch angemessene technische Schutzmassnahmen<br />
gegen unbefugte Zugriffe zu schützen (Art. 7 Abs. 1 DSG) 14 . Sie sorgen insbesondere für<br />
die Vertraulichkeit, die Verfügbarkeit <strong>und</strong> die Integrität der Personendaten (Art. 8 Abs. 1 der Verordnung<br />
zum DSG, VDSG, SR 235.11).<br />
17/42
7. Die wichtigsten rechtlichen Voraussetzungen für die<br />
<strong>Überwachung</strong> des Surfens <strong>und</strong> der E-<strong>Mail</strong>-Nutzung<br />
Um eine personenbezogene <strong>Überwachung</strong> einleiten zu dürfen, muss der Arbeitgeber die Belegschaft<br />
vorher informieren <strong>und</strong> einen Missbrauch festgestellt haben oder es muss ein Missbrauchsverdacht entstanden<br />
sein. Im Detail gelten folgende Regeln.<br />
7.1 Die vorherige Information<br />
Anders als beim Nutzungsreglement, das nicht obligatorisch ist, hat der Arbeitgeber die Pflicht, ein <strong>Überwachung</strong>sreglement<br />
zu erlassen, da die <strong>Überwachung</strong> einen Eingriff in die Privatsphäre des Arbeitnehmers<br />
darstellen kann (Prinzip von Treu <strong>und</strong> Glauben, Art. 4 Abs. 2 DSG). Ein solcher Eingriff ist dann<br />
gegeben, wenn Protokollierungen privater Surftouren personenbezogen ausgewertet werden. Das <strong>Überwachung</strong>sreglement<br />
wird aus Gründen der Transparenz <strong>und</strong> Rechtssicherheit schriftlich <strong>und</strong> in der<br />
Regel zus<strong>am</strong>men mit dem Nutzungsreglement in einem einzigen Dokument verfasst (vgl. Musterreglement,<br />
Anhang C).<br />
Der Arbeitgeber muss im <strong>Überwachung</strong>sreglement dar<strong>über</strong> informieren, dass die Möglichkeit der personenbezogenen<br />
Auswertung der Protokollierungen besteht (vgl. Kapitel 8.2 <strong>und</strong> 8.3) <strong>und</strong> dass die Auswertungsresultate<br />
an den Personaldienst <strong>und</strong> an den Vorgesetzten weitergegeben werden, falls ein<br />
Missbrauch festgestellt wird. Sieht das <strong>Überwachung</strong>sreglement diese Information nicht vor, so muss<br />
dies nachgeholt werden, bevor Protokollierungen personenbezogen ausgewertet werden. Die Information<br />
hat demzufolge vor dem Missbrauch bzw. Missbrauchsverdacht <strong>und</strong> nicht lediglich vor der personenbezogenen<br />
Auswertung der Protokollierungen zu erfolgen. Ausnahmsweise, wenn ein schwerer Missbrauch<br />
vorliegt, kann die vorherige Information erst vor der personenbezogenen Auswertung der Protokollierungen<br />
erfolgen, falls sie früher nicht vorhanden war. In der Abwägung <strong>über</strong>wiegen in solchen Fällen<br />
die Interessen des Arbeitgebers an die Identifikation des fehlbaren Arbeitnehmers.<br />
Empfehlenswert ist auch dar<strong>über</strong> zu informieren, wer für die personenbezogene Auswertung der Protokollierungen<br />
zuständig ist, welche konkreten arbeitsrechtlichen Sanktionen ergriffen werden können <strong>und</strong><br />
wie bei Verdacht auf eine Straftat vorgegangen wird. Rats<strong>am</strong> ist ferner die Information <strong>über</strong> die eingesetzten<br />
Protokollierungen, deren Zweck, Inhalt, Aufbewahrungsdauer <strong>und</strong> Auskunftsrecht.<br />
Im Zus<strong>am</strong>menhang mit der E-<strong>Mail</strong>-Benutzung hat der Arbeitgeber auch die externen E-<strong>Mail</strong>-Empfänger<br />
<strong>und</strong> -Absender <strong>über</strong> das Vorliegen von <strong>Überwachung</strong>en bzw. von Stellvertretungen zu informieren. Dies<br />
könnte bspw. in den Fusszeilen zus<strong>am</strong>men mit der Vertraulichkeits- <strong>und</strong> Amtlichkeitsklausel jedes ausgehenden<br />
E-<strong>Mail</strong>s erfolgen.<br />
Die Kenntnis, dass eine <strong>Überwachung</strong> möglich ist, kann eine abschreckende Wirkung auf das Surfverhalten<br />
der Arbeitnehmer haben.<br />
18/42
7.2 Die Feststellung eines Missbrauches<br />
Ein Missbrauch liegt vor, wenn das Nutzungsreglement verletzt worden ist. Missbräuchlich ist je nach<br />
Nutzungsreglement z. B. das Surfen auf Web-Seiten, die keine berufliche Relevanz aufweisen, oder das<br />
private Surfen tout court, wenn es ausdrücklich verboten wurde. Der wegen den ergriffenen technischen<br />
Schutzmassnahmen misslungene Versuch, auf gesperrte <strong>Internet</strong>seiten zuzugreifen, stellt hingegen keinen<br />
Missbrauch dar.<br />
Fehlt ein Nutzungsreglement, so können die Treuepflicht oder das Zweck- <strong>und</strong> Verhältnismässigkeitsprinzip<br />
trotzdem verletzt werden. Ist dies der Fall, dann spricht man auch von einem Missbrauch.<br />
Ein Missbrauch kann durch anonyme oder pseudonyme <strong>Überwachung</strong>en der Einhaltung des Nutzungsreglements<br />
(vgl. Kap. 8.2 <strong>und</strong> 8.3), bei der Gewährleistung der Sicherheit (z. B. beim Herausfinden der<br />
Quelle eines Virus oder eines internen Hackingversuches) oder durch andere Hinweise (z. B. Vorfinden<br />
von gedrucktem privatem Material beim Firmendrucker, versehentliche Zustellung von privaten E-<strong>Mail</strong>s<br />
an Vorgesetzten oder eine Überlastung der E-<strong>Mail</strong>-Box eines Arbeitnehmers) festgestellt werden.<br />
19/42
8. Die <strong>Überwachung</strong> des Surfens <strong>und</strong> der E-<strong>Mail</strong>-<br />
Benutzung <strong>am</strong> <strong>Arbeitsplatz</strong><br />
Es ist an dieser Stelle nochmals klar festzuhalten, dass sowohl die technische Prävention als auch die<br />
Sensibilisierung <strong>und</strong> Mitwirkung der Arbeitnehmer Vorrang gegen<strong>über</strong> der <strong>Überwachung</strong> haben. Nur<br />
wenn ein Missbrauch so nicht verhindert werden kann, darf der Arbeitgeber eine personenbezogene<br />
<strong>Überwachung</strong> in Betracht ziehen.<br />
Die <strong>Überwachung</strong> des privaten Surfens wird von derjenigen der privaten E-<strong>Mail</strong>-Benutzung separat betrachtet.<br />
Zu bemerken ist, dass in Kleinunternehmen die nachfolgenden Ausführungen kaum Anwendung finden,<br />
da keine richtige Anonymität garantiert werden kann.<br />
In den folgenden Kapiteln wird insbesondere die <strong>Überwachung</strong> des Surf- <strong>und</strong> E-<strong>Mail</strong>-Verhaltens aufgr<strong>und</strong><br />
der Auswertung der Protokollierungen erörtert. Wegen ihrer präventiven, permanenten <strong>und</strong> vorsätzlichen<br />
Natur ist sie die geläufigste <strong>und</strong> gefährlichste Art der <strong>Überwachung</strong>.<br />
Möglich ist aber auch die zufällige <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit <strong>und</strong><br />
Funktionstüchtigkeit der technischen Ressourcen oder aufgr<strong>und</strong> anderer Hinweise.<br />
8.1 <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit <strong>und</strong> der<br />
Funktionstüchtigkeit des betrieblichen EDV-Systems<br />
Eine Aufgabe der Informatikdienste oder Sicherheitsbeauftragten eines Unternehmens besteht in der<br />
Gewährleistung der Sicherheit <strong>und</strong> Funktionstüchtigkeit der technischen Mittel. In Kleinbetrieben ist der<br />
Vorgesetzte oft dafür selber zuständig. Die Gewährleistung der Sicherheit erfolgt laufend, meistens<br />
durch den Einsatz von technischen Schutzmassnahmen (z. B. Intrusion Detection System), <strong>und</strong> anonym.<br />
Die Abwehr von internen oder externen Angriffen wird weitgehend diesen Massnahmen <strong>über</strong>lassen. Der<br />
Arbeitgeber hat dafür zu sorgen, dass die technischen Schutzmassnahmen regelmässig dem neusten<br />
Stand der Technik angepasst werden.<br />
Manifestiert sich eine technische Störung trotz Schutzmassnahmen, können bei der Suche nach deren<br />
Ursache die Protokollierungen beigezogen werden. Die Ursache der Störung kann zugleich einen Missbrauch<br />
darstellen oder einen Missbrauchsverdacht erwecken. Im Falle eines erwiesenen Missbrauches<br />
kann der identifizierte Mitarbeiter gemäss den Ausführungen in Kapitel 10 sanktioniert werden.<br />
8.2 <strong>Überwachung</strong> aufgr<strong>und</strong> anderer Hinweise<br />
Der Missbrauchsverdacht oder der Missbrauch kann auch zufälligerweise, durch andere Hinweise entstehen<br />
bzw. festgestellt werden (vgl. Kapitel 7.2). Zur Identifikation des fehlbaren Mitarbeiters können,<br />
falls nötig, die entsprechenden Protokollierungen (z. B. die Protokollierung des Druckers) oder auch nur<br />
deren Auswertungen beigezogen werden. Bei erwiesenem Missbrauch kommen die Sanktionen gemäss<br />
Kapitel 10 zur Anwendung.<br />
20/42
8.3 <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der<br />
Protokollierungen<br />
Bei der Auswertung einer Protokollierung geht es um eine <strong>über</strong>sichtliche Analyse von protokollierten Aktivitäten<br />
nach bestimmten, vordefinierten Kriterien. Die Auswertung wird durch ein dafür vorgesehenes<br />
Progr<strong>am</strong>m erzeugt. Eine oder mehrere miteinander verknüpfte Auswertungen (z. B. aus <strong>Internet</strong>-, E-<br />
<strong>Mail</strong>- <strong>und</strong> Telefonaktivitäten) können Persönlichkeitsprofile bilden. Deshalb könnte der Auswertungstool<br />
eine Protokollierung <strong>über</strong> die erzeugten Auswertungen vornehmen.<br />
Es bestehen hauptsächlich drei verschiedene Auswertungsarten: die anonyme, die pseudonyme <strong>und</strong> die<br />
n<strong>am</strong>entliche Auswertung.<br />
Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen (z. B. nach<br />
dem Kriterium der meistbesuchten <strong>Internet</strong>-Seiten oder nach der Anzahl gesendeter E-<strong>Mail</strong>s). Die Auswertung<br />
kann sowohl die ges<strong>am</strong>te Arbeitnehmerschaft einer Firma als auch nur einen Teil davon (z. B.<br />
eine bestimmte Firmenabteilung) betreffen. Um die Anonymität zu gewährleisten, hat die untersuchte<br />
Personenmenge genügend gross zu sein.<br />
Bei der pseudonymen Auswertung geht es um eine Protokollierungsanalyse nach pseudonymisierter,<br />
bestimmbarer Person (z. B. die meist besuchten <strong>Internet</strong>-Seiten pro pseudonymisierte Person). Das<br />
Pseudonym muss genügend robust sein, um die Identität der betroffenen Person in der Phase der nichtpersonenbezogenen<br />
<strong>Überwachung</strong> (vgl. Kapitel 8.4.1.1) zu schützen. Sowohl User-ID als auch statisch<br />
vergebene IP-Adresse gelten nicht als robuste Pseudonyme, da d<strong>am</strong>it die Identität der betroffenen Personen<br />
leicht zu rekonstruieren ist.<br />
Die n<strong>am</strong>entliche Auswertung stellt eine Protokollierungsanalyse nach einer bestimmten Person dar. Die<br />
Relation der Pseudonyme mit den entsprechenden Personenn<strong>am</strong>en befindet sich in der sogenannten<br />
Korrespondenzliste. Durch Verknüpfung des Pseudonyms mit der Korrespondenzliste lässt sich die Identität<br />
der betroffenen Person ermitteln (Reidentifikation/n<strong>am</strong>entliche Auswertung). Es ist empfehlenswert,<br />
die Auswertungen der Protokollierungen von der Korrespondenzliste (Benutzern<strong>am</strong>en <strong>und</strong> entsprechende<br />
Pseudonyme) physisch <strong>und</strong> funktionell (durch zwei verschiedene Personen) getrennt aufzubewahren.<br />
Es ist aber zu bedenken, dass weder getrennte Listen noch Pseudonymisierung der Benutzern<strong>am</strong>en<br />
eine anonyme <strong>Überwachung</strong> garantieren, wenn die Korrespondenzlisten allgemein auffindbar sind 15 .<br />
Speziell gilt, dass die n<strong>am</strong>entliche Auswertung der Protokollierung der E-<strong>Mail</strong>s, welche gemäss Kapitel<br />
8.5 als privat bezeichnet sind, nur folgende Elemente zu enthalten hat: Datum, Zeit, Absenderadresse<br />
(unterdrückt bei eingehenden E-<strong>Mail</strong>s), Empfängeradresse (unterdrückt bei ausgehenden E-<strong>Mail</strong>s),<br />
Vermerk . Mit anderen Worten, darf nur die E-<strong>Mail</strong> Adresse des Arbeitnehmers in der n<strong>am</strong>entlichen<br />
Auswertung erscheinen.<br />
21/42
8.4 Die <strong>Überwachung</strong> aufgr<strong>und</strong> der Auswertungen der<br />
Surfprotokollierungen<br />
Die <strong>Überwachung</strong> der Auswertungen der <strong>Internet</strong>protokollierungen dient dem Schutz der Interessen des<br />
Arbeitgebers gemäss Kapitel 2 dieses <strong>Leitfaden</strong>s.<br />
Die <strong>Überwachung</strong> der Auswertungen der <strong>Internet</strong>protokollierungen unterteilt sich in zwei Phasen:<br />
• Nichtpersonenbezogene <strong>Überwachung</strong>;<br />
• Personenbezogene <strong>Überwachung</strong>.<br />
8.4.1 Erste Phase: Nichtpersonenbezogene <strong>Überwachung</strong><br />
Die Zwecke der ersten Phase der <strong>Überwachung</strong>, die sogenannte nichtpersonenbezogene <strong>Überwachung</strong>,<br />
bestehen hauptsächlich in der Erstellung von Statistiken <strong>und</strong> in der Kontrolle der Einhaltung des Nutzungsreglements.<br />
• Erstellung von Statistiken: Statistiken erfolgen aufgr<strong>und</strong> anonymer Auswertungen der Protokollierungen<br />
<strong>und</strong> bezwecken die strukturierte, anonyme Wiedergabe der durchschnittlichen <strong>Internet</strong>benutzung.<br />
• Kontrolle der Einhaltung des Nutzungsreglements: Unter der Voraussetzung, dass die Arbeitnehmer<br />
vorgängig im <strong>Überwachung</strong>sreglement dar<strong>über</strong> informiert wurden (vgl. Kapitel 7.1 <strong>und</strong> Anhang<br />
C), darf der Arbeitgeber die Einhaltung des Nutzungsreglements kontrollieren. Je nach <strong>Überwachung</strong>sreglement<br />
erfolgt diese Kontrolle durch eine anonyme <strong>und</strong>/oder durch eine pseudonyme<br />
Auswertung der Protokollierungen. Die anonyme Auswertung ermöglicht keine Identifikation <strong>und</strong> darf<br />
demzufolge permanent erfolgen. Die pseudonyme Auswertung ermöglicht die <strong>Überwachung</strong> des<br />
Verhaltens einer bestimmbaren Person im Vergleich zum durchschnittlichen (anonymen) Verhalten.<br />
Sie darf nur stichprobenartig, nach einem bestimmten Zeitplan erfolgen (z. B. ein Tag pro Monat, unter<br />
Angabe der betroffenen Woche; Dadurch soll das Gefühl der ständigen, individuellen Verhaltens<strong>über</strong>wachung<br />
verhindert werden). Die <strong>Überwachung</strong> der ges<strong>am</strong>ten Zeitspanne seit der letzten Stichprobe<br />
(z. B. durch Content Scanner oder Spionprogr<strong>am</strong>me, vgl. Kapitel 6) käme hingegen einer<br />
ständigen Verhaltens<strong>über</strong>wachung der ges<strong>am</strong>ten Arbeitnehmerschaft gleich, welche gemäss Art. 26<br />
ArGV 3 nicht zulässig ist. Die nichtpersonenbezogene <strong>Überwachung</strong> der Einhaltung des Nutzungsreglements<br />
sollte durch den Datenschutzberater der Firma, durch einen dafür speziell ausgebildeten<br />
Mitarbeiter oder durch eine externe Vertrauensperson durchgeführt werden. Die beauftragte Person<br />
muss <strong>über</strong> ihre Verantwortung klar informiert werden, besonders im Zus<strong>am</strong>menhang mit dem Verbot<br />
von personenbezogenen Auswertungen in dieser Phase.<br />
8.4.2 Zweite Phase: Personenbezogene <strong>Überwachung</strong><br />
Bei der zweiten Phase der <strong>Überwachung</strong>, der sogenannten personenbezogenen <strong>Überwachung</strong>, geht es<br />
um die Identifikation bzw. Reidentifikation einer Person im Falle einer Missbrauchsfeststellung oder eines<br />
Missbrauchsverdachts in der ersten Phase.<br />
Beim Missbrauchsverdacht 16 wird die pseudonymisierte Auswertung der Protokollierung herangezogen<br />
<strong>und</strong> durch Verknüpfung mit der Korrespondenzliste n<strong>am</strong>entlich ausgewertet. Das Ziel dieser n<strong>am</strong>entlichen<br />
Auswertung besteht darin, das Bestehen eines Missbrauches zu bestätigen oder den Missbrauchsverdacht<br />
zu eliminieren. Wird der Missbrauchsverdacht nicht bestätigt, hört man mit der n<strong>am</strong>ent-<br />
22/42
lichen Auswertung der Protokollierung sofort auf. Der Arbeitgeber bleibt aber weiterhin gehalten, die<br />
technischen Schutzmassnahmen <strong>und</strong>/oder das Nutzungsreglement an den technischen Fortschritt anzupassen,<br />
z. B. durch die Beschaffung eines aktualisierten Antivirusprogr<strong>am</strong>ms oder durch die Erweiterung<br />
der Firewall mit einer <strong>über</strong>arbeiteten Sperrliste.<br />
Liegt ein Missbrauch gemäss Kapitel 7.2 vor, passt der Arbeitgeber zuerst die technischen Schutzmassnahmen<br />
sowie, wenn nötig, das Nutzungsreglement an. Die Anpassung des Nutzungsreglements wird<br />
den Arbeitnehmern mitgeteilt.<br />
Die Identifikation bzw. Reidentifikation des fehlbaren Arbeitnehmers erfolgt gemäss Kapitel 8.3. Danach<br />
kann der Arbeitgeber die passenden arbeitsrechtlichen Massnahmen treffen (vgl. Kapitel 10).<br />
Da eine solche Bearbeitung der Protokollierung weitere, mit dem Missbrauch nicht zus<strong>am</strong>menhängende<br />
Personendaten enthüllen kann, ist die mit der Auswertung beauftragte Person an das Berufsgeheimnis<br />
besonders geb<strong>und</strong>en. Sie darf solche Daten nicht missbrauchen. Im Falle einer Datenbearbeitung durch<br />
Dritte hat der Arbeitgeber Letztere darauf hinzuweisen (Art. 14 DSG).<br />
8.5 Die <strong>Überwachung</strong> des E-<strong>Mail</strong>-Verkehrs<br />
8.5.1 Die <strong>Überwachung</strong> des privaten e-<strong>Mail</strong>-Verkehrs<br />
Für die E-<strong>Mail</strong>-<strong>Überwachung</strong> gelten die mehr oder weniger gleichen Gr<strong>und</strong>sätze wie für die klassische<br />
Papierpost. In den folgenden Zeilen wird deshalb zuerst die <strong>Überwachung</strong> der Papierpost <strong>am</strong> <strong>Arbeitsplatz</strong><br />
behandelt 17 .<br />
Die private Post <strong>am</strong> <strong>Arbeitsplatz</strong> geniesst uneingeschränkten Schutz. Die private Post ist demzufolge<br />
ungeöffnet an die adressierte Person weiterzuleiten. Wird private Post durch Drittpersonen trotzdem geöffnet,<br />
so liegt eine widerrechtliche Persönlichkeitsverletzung vor. Letztere kann entweder zivil- (Art. 15<br />
DSG) oder verwaltungsrechtlich (Art. 25 DSG) verfolgt werden. In beiden Fällen bleiben auch strafrechtliche<br />
Konsequenzen vorbehalten (Art. 179 StGB). Als Privatpost gilt eine Sendung, bei der erkennbar ist,<br />
dass sie einem Arbeitnehmer nicht in beruflicher Eigenschaft, sondern als Privatperson zugestellt worden<br />
ist. Anhaltspunkte für Privatpost sind besondere Vermerke wie «privat» oder «eigenhändig». Massgebend<br />
ist auch die Art der Sendung (Todesanzeige, adressierte Zeitung oder Zeitschrift) oder äussere<br />
Merkmale (Kleinformate, farbiges Papier, Postkarten, an einen Bediensteten adressierte Militärpost).<br />
Die Anschrift «Herr X, Dienststelle Y» lässt somit erst dann auf den persönlichen Inhalt schliessen, wenn<br />
dies durch einen Zusatz (privat, usw.) zum Ausdruck gebracht wird. Das blosse Voranstellen des N<strong>am</strong>ens<br />
genügt nicht, um zu zeigen, dass die Sendung einem Bediensteten als Privatperson zugestellt<br />
worden ist (BGE 114 IV 16).<br />
Ähnlich wie im Post- sowie Telefoniebereich darf der Arbeitgeber aufgr<strong>und</strong> des Persönlichkeitsschutzes<br />
keine Einsicht in den Inhalt privater E-<strong>Mail</strong>s des Arbeitnehmers haben. Aufgr<strong>und</strong> der Adressierungselemente<br />
ist eine automatisierte Unterscheidung zwischen privaten <strong>und</strong> geschäftlichen E-<strong>Mail</strong>s kaum möglich.<br />
Private E-<strong>Mail</strong>s sind vom Absender demzufolge durch eine Vermerkoption «privat» zu kennzeichnen.<br />
Wenn kein Unterscheidungsvermerk zwischen privaten <strong>und</strong> beruflichen E-<strong>Mail</strong>s besteht <strong>und</strong> die<br />
private Natur eines E-<strong>Mail</strong>s aufgr<strong>und</strong> der Adressierungselemente nicht erkennbar <strong>und</strong> nicht anzunehmen<br />
ist, darf der Arbeitgeber – analog den klassischen Postsendungen – davon ausgehen, dass das E-<strong>Mail</strong><br />
beruflich ist. Bestehen Zweifel <strong>über</strong> die Natur eines E-<strong>Mail</strong>s, ist sie mit dem Angestellten zu klären.<br />
23/42
Ein Entpacken <strong>und</strong> weiteres Bearbeiten (z. B. Sichern, Weiterleiten, Scannen) von E-<strong>Mail</strong>s, welche als<br />
«privat» gekennzeichnet bzw. erkennbar sind, bleibt dem Arbeitgeber somit verwehrt. Die Respektierung<br />
der Privatsphäre als Teil der Persönlichkeit zeigt sich auch beim verfassungsmässigen Fernmeldegeheimnis,<br />
welches auch für den E-<strong>Mail</strong>-Verkehr <strong>über</strong> <strong>Internet</strong> gilt (BGE 126 I 50, insb. Erw. 6a). So ist es<br />
dem Arbeitgeber nicht gestattet, private Nachrichten seiner Angestellten beim Anbieter des E-<strong>Mail</strong>-<br />
Dienstes einzusehen (Art. 43 des Fernmeldegesetzes, FMG, SR 784.10). Die Einsicht in E-<strong>Mail</strong>s der<br />
Beschäftigten darf ausschliesslich im Rahmen einer Strafverfolgung auf richterlichen Beschluss hin erfolgen,<br />
wobei die entsprechenden Inhalte nur dem Richter vorgelegt werden dürfen (Art. 3 des B<strong>und</strong>esgesetzes<br />
betreffend die <strong>Überwachung</strong> des Post- <strong>und</strong> Fernmeldeverkehrs, BÜPF, SR 780.1).<br />
Eine Möglichkeit, den Inhalt von privaten E-<strong>Mail</strong>s zu schützen, besteht darin, einen internetbasierten,<br />
vom geschäftlichen getrennten <strong>und</strong> wenn möglich verschlüsselten E-<strong>Mail</strong>-Dienst zu gebrauchen 18 .<br />
Ob internetbasierte, verschlüsselte E-<strong>Mail</strong>-Dienste <strong>über</strong>haupt benutzt werden dürfen, hängt vom Nutzungsreglement<br />
ab. Ist die <strong>Internet</strong>nutzung verboten, geht der Arbeitnehmer das Risiko ein, wegen privaten<br />
Surfens <strong>am</strong> <strong>Arbeitsplatz</strong> sanktioniert zu werden. Für den privaten E-<strong>Mail</strong>-Gebrauch <strong>am</strong> <strong>Arbeitsplatz</strong><br />
gilt also folgende Regel: Lässt das Nutzungsreglement die private E-<strong>Mail</strong>-Nutzung zu, so besteht<br />
zum besseren eigenen Schutz die Möglichkeit, ein webbasierter, wenn möglich verschlüsselter E-<strong>Mail</strong>-<br />
Dienst zu benutzen. Ist die private E-<strong>Mail</strong>-Nutzung <strong>am</strong> <strong>Arbeitsplatz</strong> untersagt, verzichtet man <strong>am</strong> besten<br />
darauf. Eine vollständige Verhinderung eingehender privater E-<strong>Mail</strong>s ist hingegen nicht möglich. Der Arbeitgeber<br />
muss sich bewusst sein, dass er den Arbeitnehmer nicht für den Eingang aller privater E-<strong>Mail</strong>s<br />
verantwortlich machen kann.<br />
Organisatorisch erfolgt die Archivierung der E-<strong>Mail</strong>s heutzutage in der Regel noch im E-<strong>Mail</strong>-Server. Die<br />
entsprechenden Backups können, wenn dies im <strong>Überwachung</strong>sreglement vorgesehen ist <strong>und</strong> die Protokollierungen<br />
keine Identifikation ermöglicht haben, nicht nur bei Datenverlust, sondern auch zur Identifikation<br />
fehlbarer Mitarbeiter oder zur Erhärtung von Missbrauchsverdacht verwendet werden.<br />
Aus Gründen einer klaren Unterscheidung zwischen privaten <strong>und</strong> geschäftlichen E-<strong>Mail</strong>s, aber auch zur<br />
besseren Verwaltung der geschäftlichen E-<strong>Mail</strong>s wird jedoch empfohlen, die E-<strong>Mail</strong>-Box nicht als Archiv<br />
zu gebrauchen. Private E-<strong>Mail</strong>s sollen auf einem privaten Datenträger, geschäftliche E-<strong>Mail</strong>s in ein geschäftliches<br />
Dokumentverwaltungssystem verschoben werden. Dadurch wird ein beträchtlicher Beitrag<br />
<strong>am</strong> Schutz der eigenen Privatsphäre geleistet, da unter anderem keine privaten E-<strong>Mail</strong>s in geschäftlichen<br />
Backups gespeichert werden.<br />
8.5.1.1 Vorgehensweise<br />
Für die <strong>Überwachung</strong> der Einhaltung der E-<strong>Mail</strong>-Nutzungsregelung gelten die gleichen Ausführungen<br />
wie für die <strong>Überwachung</strong> des Surfens (vgl. Kapitel 8.1 ff).<br />
8.5.2 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs<br />
Die Geschäftsverwaltung setzt eine systematische Registrierung <strong>und</strong> Nachvollziehbarkeit von allen ein-<br />
<strong>und</strong> ausgehenden geschäftlichen Dokumenten (inkl. E-<strong>Mail</strong>s) voraus. Die Firma hat das Recht, die geschäftlichen<br />
E-<strong>Mail</strong>s vollständig zu protokollieren <strong>und</strong> inhaltlich zu sichern (Backup). Es empfiehlt sich,<br />
die Protokollierung auf die Betreffzeile, Datum, Zeit, Absender- <strong>und</strong> Empfängeradresse zu beschränken.<br />
Im E-<strong>Mail</strong>-Bereich, analog wie mit der herkömmlichen postalischen Geschäftskorrespondenz, bestehen<br />
zwei Adressierungsmodi: Die n<strong>am</strong>entliche (z. B. hans.meier@firma.ch oder hans.meier@verkauf.firma.<br />
ch) <strong>und</strong>/oder die n<strong>am</strong>enlose, funktionelle (z. B. info@firma.ch, verkauf@firma.ch, oder verkaufsleiter@firma.ch)<br />
Adressierung. Heutzutage ist die n<strong>am</strong>entliche Adressierung weit verbreitet.<br />
24/42
Die n<strong>am</strong>entliche Adressierung alleine bereitet eine Vielzahl von Nachteilen bei der Geschäftsverwaltung:<br />
Die <strong>Mail</strong>verwaltung während Abwesenheiten <strong>und</strong> beim Verlassen der Firma <strong>und</strong> die d<strong>am</strong>it verb<strong>und</strong>ene<br />
Schwierigkeit der Unterscheidung zwischen privaten <strong>und</strong> geschäftlichen E-<strong>Mail</strong>s. Wenn kein Unterscheidungsvermerk<br />
zwischen privaten <strong>und</strong> beruflichen E-<strong>Mail</strong>s besteht <strong>und</strong> die private Natur eines E-<strong>Mail</strong>s<br />
aufgr<strong>und</strong> der Adressierungselemente nicht erkennbar <strong>und</strong> nicht anzunehmen ist, darf der Arbeitgeber –<br />
analog den klassischen Postsendungen – davon ausgehen, dass das E-<strong>Mail</strong> beruflich ist.<br />
Die n<strong>am</strong>enlose, funktionelle Adressierung ist für die nicht persönliche geschäftliche Korrespondenz geeignet,<br />
da sie die oben erwähnten Schwierigkeiten der n<strong>am</strong>entlichen Adressierung nicht aufweist. Die<br />
n<strong>am</strong>entliche Adressierung sollte für den rein persönlichen, geschäftlichen Informationsaustausch (z. B.<br />
bei Personalangelegenheiten oder persönlichen Mitteilungen) gebraucht werden.<br />
8.5.2.1 Die E-<strong>Mail</strong>-Verwaltung während Abwesenheiten<br />
Was die vorhersehbaren Abwesenheiten (z. B. Ferien, Urlaub, Militärdienst) betrifft, bestehen hauptsächlich<br />
drei Verwaltungsarten:<br />
• Definieren einer automatischen Antwort an den Absender mit Abwesenheitsmelung <strong>und</strong> Notfallkoordinaten.<br />
• Definieren einer Weiterleitung des Eingangs an einen Stellvertreter. Diese Lösung ist mit dem Risiko<br />
verb<strong>und</strong>en, dass private E-<strong>Mail</strong>s, welche als solche nicht vermerkt sind, an den gewählten Stellvertreter<br />
gelangen.<br />
• Definieren eines Stellvertreters mit abgestufter Berechtigung zur Einsicht <strong>und</strong> eventuellen Weiterbearbeitung<br />
der geschäftlichen eingehenden E-<strong>Mail</strong>s. Die als privat gekennzeichneten E-<strong>Mail</strong>s sind für<br />
den Stellvertreter nicht sichtbar. Dadurch bleibt die Privatsphäre des abwesenden Arbeitnehmers<br />
geschützt. Dem Absender muss bewusst sein, dass das E-<strong>Mail</strong> durch den Stellvertreter eingesehen<br />
wird, wenn es nicht als «privat» erkannt werden kann.<br />
Bei «unvorhersehbaren» Abwesenheiten (z. B. Krankheit, Unfall) ist ein Stellvertreter pro Mitarbeiter (vgl.<br />
C.) zum Voraus zu ernennen.<br />
8.5.2.2 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Angestellten<br />
Vor dem Austritt hat ein Arbeitnehmer die noch hängigen Geschäfte wie E-<strong>Mail</strong>s intern weiterzuleiten.<br />
Der Arbeitnehmer hat die Übergabe sämtlicher Geschäftsdokumente an die Firma zu bestätigen 19 . Er<br />
muss die Möglichkeit haben, seine privaten E-<strong>Mail</strong>s <strong>und</strong> andere Dokumente auf private Datenträger zu<br />
speichern <strong>und</strong> aus den Servern der Firma zu löschen.<br />
Beim Austritt (oder im Todesfall) ist spätestens <strong>am</strong> letzten Arbeitstag sein E-<strong>Mail</strong>-Account (wie übrigens<br />
auch alle anderen EDV-Accounts) zu sperren <strong>und</strong> sein Briefkasten (wie alle anderen persönlichen Datenträger)<br />
zu löschen. Der Arbeitgeber sollte sich dazu schriftlich verpflichten. Absender, welche E-<strong>Mail</strong>s<br />
an die gesperrte E-<strong>Mail</strong>-Adresse schicken, werden automatisch informiert, dass die Empfängeradresse<br />
hinfällig ist. In der automatischen Antwort wird eine Ersatz-E-<strong>Mail</strong>-Adresse der Firma angegeben.<br />
8.5.3 Besondere Fälle der E-<strong>Mail</strong>-<strong>Überwachung</strong><br />
Darf der Arbeitgeber einen Arbeitnehmer identifizieren, dem z. B. Persönlichkeitsverletzungen oder<br />
Mobbing durch anonyme E-<strong>Mail</strong>s vorgeworfen werden?<br />
25/42
Die mögliche Persönlichkeitsverletzung eines Arbeitnehmers durch einen anderen Arbeitnehmer ist Sache<br />
der betroffenen Person <strong>und</strong> der Ziviljustiz. Der Arbeitgeber hat jedoch das Recht, selber die Identität<br />
der fehlbaren Person herauszufinden, wenn die Treuepflicht <strong>und</strong> die Interessen des Arbeitgebers auch<br />
tangiert werden (z. B. Leistungseinbruch durch Kränkung eines Arbeitnehmers). Die Identifikation ist ebenfalls<br />
erlaubt, wenn private E-<strong>Mail</strong>s im Nutzungsreglement verboten sind. Der Rechtfertigungsgr<strong>und</strong><br />
für die Identifikation der fehlbaren Person ist in einem solchen Fall die Verletzung des Nutzungsreglements<br />
resp. der Treuepflicht, nicht die vermeintliche Persönlichkeitsverletzung eines Mitarbeiters.<br />
8.6 Teleworker<br />
Unter Teleworker versteht man einen Arbeitnehmer mit <strong>Arbeitsplatz</strong> ausserhalb der Firma (z. B. Heimarbeiter<br />
via <strong>Internet</strong>). Dadurch, dass der Teleworker ausserhalb der Firma arbeitet <strong>und</strong> nicht unter direkter<br />
Beaufsichtigung des Arbeitgebers steht, ist die private Benutzung der vom Arbeitgeber zur Verfügung<br />
gestellten Arbeitsinstrumenten in der Regel grösser. Obwohl dies nicht ohne Weiteres als Missbrauch<br />
von geschäftlichen Ressourcen zu deuten ist, ist die Gefahr einer Persönlichkeitsverletzung durch Einsichtnahme<br />
in Protokollierungen oder in privaten Dateien durch den Arbeitnehmer grösser als beim klassischen<br />
Arbeitnehmer. Um diese Gefahr zu vermeiden, empfiehlt es sich, einen separaten Datenträger<br />
(z.B. externe Harddisk, Diskette, CD) für private Angelegenheiten einzusetzen. Dies erleichtert u. a. die<br />
einwandfreie Rückgabe des Arbeitsinstrumentes beim Verlassen der Firma.<br />
26/42
9. Die <strong>Überwachung</strong> im Falle einer Straftat<br />
Wenn der Arbeitgeber im Rahmen einer <strong>Überwachung</strong> oder durch andere Hinweise den konkreten Verdacht<br />
schöpft, dass eine Straftat per Surfen oder E-<strong>Mail</strong> begangen wurde, so kann er die entsprechenden<br />
Beweise, bestehend aus den Protokollierungen <strong>und</strong> eventuellen Backups, sichern. Da die Beweissicherung<br />
technisch komplex ist, sollte sie durch einen Spezialisten (forensic computing scientist) 20 durchgeführt<br />
werden.<br />
Aufgr<strong>und</strong> der Protokollierungen oder einer Beschwerde von betroffenen Arbeitnehmern oder Dritten<br />
kann der Verdacht oder die Gewissheit <strong>über</strong> ein Verhalten entstehen, das nicht nur gegen Arbeitsvertrag<br />
oder Nutzungsreglement verstösst, sondern einen Straftatbestand erfüllt, wie zum Beispiel:<br />
• Rufschädigung (Art. 173ff StGB);<br />
• sexuelle Belästigung <strong>am</strong> <strong>Arbeitsplatz</strong> (Art. 198 StGB);<br />
• Verbreitung von rassistischem oder pornographischen Material (Art. 261bi s <strong>und</strong> 197 StGB);<br />
• «Sabotage per <strong>Internet</strong>» oder «Betriebsspionage» (vgl. insb. Art. 143, 143 bis , 144 bis , 147 StGB).<br />
Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten <strong>und</strong> ev. dem Personaldienst,<br />
nicht jedoch beim Informatikdienst. Es besteht keine Anzeigepflicht, es ist jedoch empfehlenswert,<br />
zumindest im Zus<strong>am</strong>menhang mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft<br />
zu verhindern. Da ein Missbrauch vorliegt, darf der Arbeitgeber die verdächtigte Person identifizieren<br />
<strong>und</strong> Anzeige gegen sie erstatten. Das weitere strafrechtliche Vorgehen ist Sache der zuständigen<br />
Behörde. Zum Beispiel kann die Anordnung einer weiteren personenbezogenen <strong>Überwachung</strong> des<br />
<strong>Internet</strong>verhaltens zur Erhärtung des Verdachtes wegen des schweren Eingriffs in die Persönlichkeit nur<br />
durch die zuständige Strafjustizbehörde angeordnet werden. Vom Arbeitgeber selber durchgeführte weitere<br />
personenbezogene Verhaltens<strong>über</strong>wachungen zur Erhärtung des Verdachtes können als unzulässige<br />
Beweismittel im Rahmen eines Strafverfahrens betrachtet werden. Zudem können sie auch rechtliche<br />
Folgen für den Arbeitgeber nach sich ziehen (vgl. Kapitel 11).<br />
Der Arbeitgeber muss das Resultat der Ermittlungen gegen<strong>über</strong> Dritten, insbesondere gegen<strong>über</strong> den<br />
anderen Arbeitnehmern, vertraulich behandeln.<br />
Vorbehalten bleiben auch bei einer Straftat die arbeitsrechtlichen Sanktionen wegen Verletzung des<br />
Nutzungsreglements (vgl. Kapitel 10).<br />
27/42
10. Sanktionen bei Missbrauch<br />
Wenn die Voraussetzungen <strong>und</strong> die Regeln der <strong>Überwachung</strong> eingehalten worden sind, kann der Arbeitgeber<br />
(im Idealfall der direkte Vorgesetzte <strong>und</strong> ev. der Personaldienst) im Falle eines erwiesenen<br />
Missbrauchs arbeitrechtliche Sanktionen gegen den fehlbaren Arbeitnehmer aussprechen. Der Arbeitnehmer<br />
haftet für den Schaden, den er absichtlich oder fahrlässig dem Arbeitgeber zufügt (Art. 321e<br />
OR).<br />
In Frage kommen z. B. Abmahnungen, Sperrungen des <strong>Internet</strong>zugriffs, Schadenersatzforderungen,<br />
Lohnkürzungen oder Versetzungen. In extremen Fällen, wie bei wiederholtem Missbrauch mit technischer<br />
Störung trotz Abmahnung oder bei erwiesenen Straftaten kann der Arbeitgeber sogar die Entlassung<br />
aussprechen (Art. 335 OR). Die fristlose Entlassung eines Arbeitnehmers kann nur ausgesprochen<br />
werden, wenn dem Arbeitgeber nach Treu <strong>und</strong> Glauben die Fortsetzung des Arbeitsverhältnisses nicht<br />
mehr zugemutet werden kann (Art. 337 OR).<br />
Für das Aussprechen von Sanktionen sind die Vorgesetzten des fehlbaren Arbeitnehmers zuständig.<br />
Wenn es im <strong>Überwachung</strong>sreglement vorgesehen <strong>und</strong> der Missbrauch mit absoluter Sicherheit erwiesen<br />
ist, dürfen die Informatikdienste oder Sicherheitsbeauftragten selber Abmahnungen aussprechen sowie<br />
Zugriffsbeschränkungen oder Löschungen vornehmen. Vor einer Löschung müssen die betroffenen Arbeitnehmer<br />
informiert werden <strong>und</strong> soll ihnen die Möglichkeit gegeben werden, die betreffenden Dateien,<br />
z. B. E-<strong>Mail</strong>s, auf privaten Datenträgern zu speichern.<br />
Die Sanktionen müssen der Schwere des jeweiligen Missbrauches angepasst <strong>und</strong> in ihrem Umfang bereits<br />
im <strong>Überwachung</strong>sreglement bestimmt oder bestimmbar sein.<br />
Ein Missbrauch muss nicht immer auf bösem Willen des Arbeitnehmers basieren. Oft stecken Neugier<br />
<strong>und</strong> fehlende Information <strong>über</strong> die d<strong>am</strong>it verb<strong>und</strong>enen Sicherheitsgefahren durch den Arbeitgeber dahinter.<br />
Dieser trägt in solchen Fällen ein Teil der Verantwortung.<br />
Einen wesentlichen Teil der Verantwortung für die Infektion eines Rechners trägt der Arbeitgeber auch<br />
dann selber, wenn er kein oder kein geeignetes Antivirusprogr<strong>am</strong>m installiert hat. Der Arbeitgeber muss<br />
dafür sorgen, dass das Antivirusprogr<strong>am</strong>m regelmässig automatisch aktualisiert wird (insb. die Definitionsdateien)<br />
<strong>und</strong> vom Arbeitnehmer nicht deaktiviert werden kann. Auch für sonstige mangelnde Sicherheitsvorkehrungen<br />
trägt der Arbeitgeber einen Teil der Verantwortung.<br />
Wenn kein Nutzungsreglement mit klar definierten Unterscheidungskriterien zwischen zulässiger beruflicher<br />
Informationsbeschaffung <strong>und</strong> unzulässiger privater Surftour vorhanden ist, wird es in der Praxis<br />
nicht leicht sein, eine <strong>Internet</strong>nutzung für erlaubt oder unerlaubt zu erklären. In solchen Fällen dürfen<br />
Sanktionen gegen einen Arbeitnehmer nur dann ergriffen werden, wenn ein klarer Missbrauch vorliegt.<br />
Bei Mangel eines Nutzungsreglements sollte der Arbeitnehmer nur für vorsätzlich oder grobfahrlässig<br />
herbeigeführte Schäden haften.<br />
Die IP-Adresse <strong>und</strong> somit in der Regel auch die Identität des fehlbaren Arbeitnehmers kann bewusst<br />
vertuscht werden. Der Arbeitgeber verpflichtet sich, arbeitsrechtliche Sanktionen nur bei 100%-iger Sicherheit<br />
<strong>über</strong> die Identität des fehlbaren Arbeitnehmers zu treffen. Die Gefahr der Identitätsaneignung<br />
kann durch zeitgerechte Aktivierung eines Bildschirmschoners mit Passwortschutz stark vermindert werden.<br />
28/42
Vorbehalten bleibt die strafrechtliche Verfolgung durch die zuständige Behörde, wenn ein Straftatbestand<br />
vorliegt.<br />
Was die Beweislast betrifft, gilt folgende Regelung: Der Arbeitgeber muss die Verletzung der Pflichten<br />
des Arbeitnehmers <strong>und</strong> den daraus resultierenden Schaden beweisen. In der Folge kann der Arbeitnehmer<br />
den Beweis seiner Unschuld oder einer nur leichten Schuld erbringen (Art. 97 OR) 21.<br />
29/42
11. Ansprüche des Arbeitnehmers bei unzulässiger<br />
<strong>Überwachung</strong><br />
Wenn der Arbeitgeber die einschlägigen Voraussetzungen <strong>und</strong> Regeln bei der <strong>Überwachung</strong>en der <strong>Internet</strong>-<br />
<strong>und</strong> E-<strong>Mail</strong>-Aktivitäten der Arbeitnehmer nicht einhält, so kann dies als widerrechtliche Persönlichkeitsverletzung<br />
gerichtlich angefochten werden (Art. 15 <strong>und</strong> 25 DSG). Für die Beweislast gilt Art. 97<br />
OR. Der betroffene Arbeitnehmer kann seine Ansprüche (Feststellung der Widerrechtlichkeit, Schadenersatz,<br />
usw.) zuerst beim Arbeitgeber geltend machen. Geht dieser nicht auf die Forderungen des Arbeitnehmers<br />
ein, so kann der Arbeitsrichter angerufen werden. Dieser wendet in der Regel ein rasches<br />
<strong>und</strong> kostenloses Verfahren an. Auch die arbeitsrechtlichen Sanktionen, die der Arbeitgeber aufgr<strong>und</strong><br />
einer missbräuchlichen <strong>Überwachung</strong> ausgesprochen hat, können angefochten werden (z. B. missbräuchliche<br />
Kündigung, Art. 336 OR).<br />
Dem Arbeitgeber können im Falle einer missbräuchlichen <strong>Überwachung</strong> auch strafrechtliche Folgen<br />
drohen, z. B. infolge einer Verletzung des Verhaltens<strong>über</strong>wachungsverbots (vgl. Art. 59 Abs. 1 lit. a des<br />
Arbeitgebergesetzes, ArG, SR 822.11) oder bei unbefugtem Beschaffen von Personendaten (Art.<br />
179 novies StGB).<br />
Zu den unzulässigen <strong>Überwachung</strong>en gehören insbesondere die personenbezogene Auswertung der<br />
Protokollierungen ohne vorherige Information der Arbeitnehmer <strong>und</strong>/oder ohne Feststellung eines Missbrauchs<br />
sowie der Einsatz von Spionprogr<strong>am</strong>men.<br />
30/42
Anhang A: Situationsschema<br />
Wardriving<br />
Abbildung 1<br />
Wireless LAN<br />
Laptop<br />
Demilitarisierte<br />
Zone<br />
<strong>Internet</strong><br />
Intrusion Detection<br />
System (IDS)<br />
Wireless LAN<br />
VoIP<br />
Laserdrucker<br />
Telefon<br />
Server<br />
Access Point<br />
HTTP Server<br />
Proxy Server<br />
LAN<br />
Internal firewall<br />
External firewall<br />
(NAT)<br />
Intranet Server<br />
Server<br />
Server<br />
Computer:<br />
- Antivirus<br />
- IP DNS<br />
- Sniffer<br />
Internal server:<br />
- Diskquotas<br />
FTP Server<br />
<strong>Mail</strong> Server<br />
Infrared<br />
Bluetooth<br />
DHCP Server<br />
VPN Router<br />
Hacker<br />
Palm-Top<br />
Intranet<br />
DNS Server<br />
Modem<br />
pool<br />
M ode m Bank<br />
Modem<br />
VPN Router<br />
Teleworker<br />
Reseller<br />
Log Files<br />
Extranet<br />
ISDN modem<br />
Branch Office<br />
31/42
Anhang B: Voraussetzungen <strong>und</strong> Ablauf<br />
B.1 Die Voraussetzungen der <strong>Überwachung</strong><br />
Abbildung 2<br />
32/42
B.2 Der Ablauf der <strong>Überwachung</strong><br />
Abbildung 3<br />
33/42
B.3 Das Auswertungsverfahren<br />
Abbildung 4: Vgl. Kapitel 8.3<br />
34/42
Anhang C: Musterreglement <strong>über</strong> die Surfen- <strong>und</strong> E-<strong>Mail</strong>-<br />
<strong>Überwachung</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
In diesem Musterreglement ist der Text in normaler Schrift verfasst, die Erklärungen <strong>und</strong> Hinweise zu<br />
notwendigen Ergänzungen in kursiver Schrift.<br />
C.1 Zweck <strong>und</strong> Geltungsbereich<br />
C.1.1 Zweck<br />
Dieses Reglement bezweckt den Schutz der Interessen von Arbeitgeber <strong>und</strong> Arbeitnehmer bei der <strong>Überwachung</strong><br />
vom Surfen <strong>und</strong> vom E-<strong>Mail</strong> <strong>am</strong> <strong>Arbeitsplatz</strong>.<br />
C.1.2 Geltungsbereich<br />
Dieses Reglement gilt für alle internen <strong>und</strong> externen Arbeitnehmer der Firma.<br />
C.2 Interessen <strong>und</strong> Risiken des Arbeitgebers <strong>und</strong> Arbeitnehmers<br />
C.2.1 Interessen <strong>und</strong> Risiken des Arbeitgebers<br />
Durch Benutzung des vernetzten Computers <strong>am</strong> <strong>Arbeitsplatz</strong> können folgende Interessen <strong>und</strong> technische<br />
Einrichtungen unserer Firma beeinträchtigt werden:<br />
• Speicherkapazität <strong>und</strong> Netzwerkbandbreite durch <strong>über</strong>mässige <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Nutzung;<br />
• Daten- <strong>und</strong> Anwendungssicherheit (Verfügbarkeit, Integrität, Vertraulichkeit) durch Einfuhr von Viren,<br />
Würmern, Trojanischen Pferden oder Installation von fremden Progr<strong>am</strong>men;<br />
• Arbeitszeit <strong>und</strong> andere finanzielle Interessen (Produktivitätsverluste, Kostensteigerung für zusätzliche<br />
Mittel <strong>und</strong>/oder Leistungen, Netzkosten, usw.);<br />
• weitere rechtlich geschützte Interessen, wie Ruf, Fabrikations- <strong>und</strong> Geschäftsgeheimnisse oder Datenschutz.<br />
C.2.2 Interessen <strong>und</strong> Risiken des Arbeitnehmers<br />
Die Informations- <strong>und</strong> Kommunikationsinteressen des Arbeitnehmers, die mit der Benutzung des <strong>Internet</strong><br />
<strong>und</strong> E-<strong>Mail</strong> <strong>am</strong> Arbeitplatz verb<strong>und</strong>en sind, sind u. a. mit arbeits-, datenschutz- <strong>und</strong> ges<strong>und</strong>heitsschutzrechtlichen<br />
sowie wirtschaftlichen Risiken verb<strong>und</strong>en.<br />
35/42
C.3 Technische Schutzmassnahmen <strong>und</strong> Protokollierungen<br />
C.3.1 Technische Schutzmassnahmen<br />
Folgende technische Schutzmassnahmen werden in unserer Firma eingesetzt:<br />
- ...<br />
- ...<br />
- ...<br />
Kapitel 3 unseres <strong>Leitfaden</strong>s listet die wichtigsten technischen Schutzmassnahmen auf.<br />
C.3.2 Protokollierungen<br />
Unsere Informatikmittel führen Protokollierungen <strong>über</strong> die wichtigsten durchgeführten Aktivitäten durch.<br />
Eine Protokollierung definiert sich als fortlaufende Aufzeichnung der Randdaten «wer», «was», «wann»<br />
<strong>und</strong> findet in unserer Firma an folgenden Stellen statt:<br />
- ...<br />
- ...<br />
- ...<br />
Hier muss das Unternehmen die für ihn nötigen Protokollierungen, deren Zweck, Inhalt <strong>und</strong> Aufbewahrungsdauer<br />
angeben. D<strong>am</strong>it kommt die Firma ihrer Informationspflicht <strong>über</strong> die Datenbearbeitungen <strong>und</strong><br />
–s<strong>am</strong>mlungen gemäss Art. 4 Abs. 2 DSG nach. Fehlt diese Information, so sind die Protokollierungen<br />
beim Eidg. Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragten gemäss Art. 11 Datenschutzgesetz anzumelden.<br />
Kapitel 4 sowie Anhang A unseres <strong>Leitfaden</strong>s informieren <strong>über</strong> die wichtigsten Protokollierungsarten.<br />
Die Protokollierung von privaten E-<strong>Mail</strong>s enthält nur die E-<strong>Mail</strong>-Adresse des Arbeitnehmers, den Vermerk<br />
«privat», das Datum <strong>und</strong> die Zeitangaben.<br />
C.4 Nutzungsregelung<br />
Ob Arbeitnehmer das Recht haben, <strong>am</strong> <strong>Arbeitsplatz</strong> <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong> für private Zwecke zu nutzen,<br />
hängt in erster Linie vom Willen des Arbeitgebers ab. Ähnlich wie in anderen Bereichen des Arbeitsverhältnisses<br />
hat er ein Weisungsrecht. Der Umfang der Nutzungsberechtigung kann je nach Arbeitnehmerkategorie<br />
<strong>und</strong> ihren beruflichen Bedürfnissen unterschiedlich sein.<br />
Kapitel 5 unseres <strong>Leitfaden</strong>s gibt Anhaltspunkte, wie ein Unternehmen das Surfen <strong>und</strong> E-<strong>Mail</strong> <strong>am</strong> <strong>Arbeitsplatz</strong><br />
regeln kann. In diesem Kapitel sind konkrete <strong>und</strong> unmissverständliche Regeln aufzustellen.<br />
Die Nutzungsregelung ist bei Bedarf zu aktualisieren.<br />
36/42
C.5 <strong>Überwachung</strong>sregelung<br />
C.5.1 Vorrang technischer Schutzmassnahmen<br />
Unsere Firma verpflichtet sich, in erster Linie technische Schutzmassnahmen gegen Missbrauch <strong>und</strong><br />
technischen Schaden einzusetzen.<br />
Sie passt die technischen Schutzmassnahmen regelmässig dem neusten Stand der Technik an. Die Anpassung<br />
erfolgt auch nach einer technischen Störung.<br />
Nur wenn ein Missbrauch trotz technischen Schutzmassnahmen nicht verhindert werden kann, darf sie<br />
personenbezogene Auswertungen der <strong>Internet</strong>- <strong>und</strong> E-<strong>Mail</strong>-Protokollierungen vornehmen.<br />
Unsere Firma verzichtet auf den Einsatz von Spionprogr<strong>am</strong>men.<br />
C.5.2 Auswertung der Protokollierungen<br />
Zur Kontrolle der Einhaltung der Nutzungsregelung wertet unsere Firma die Protokollierungen in anonymer<br />
oder pseudonymer Form aus.<br />
Bei der anonymen Auswertung geht es um die statistische Analyse der Protokollierungen nach folgenden<br />
Kriterien: (Hier hat das Unternehmen oder die Verwaltungseinheit die in Frage kommenden Kriterien<br />
anzugeben, vgl. Kapitel 8.3 des <strong>Leitfaden</strong>s).<br />
Die pseudonyme Auswertung erfolgt nur stichprobenartig. Hier hat die Firma den Zeitplan <strong>und</strong> die Zeitspanne,<br />
in welcher die Stichprobe erfolgt, anzugeben (vgl. dazu Kapitel 8.4.1 des <strong>Leitfaden</strong>s).<br />
Um die Anonymität <strong>und</strong> Pseudonymität zu gewährleisten, wird unsere Firma die untersuchte Personenmenge<br />
genügend gross halten <strong>und</strong> die Protokollierungen von der Korrespondenzliste physisch <strong>und</strong> funktionell<br />
getrennt aufbewahren (vgl. Kapitel 8.3 des <strong>Leitfaden</strong>s).<br />
Wird bei der anonymen oder pseudonymen Auswertung ein Missbrauch festgestellt oder entsteht ein<br />
Missbrauchsverdacht, so werden die Auswertungen der Protokollierungen durch Verknüpfung mit der<br />
Korrespondenzliste n<strong>am</strong>entlich ausgewertet. Als Missbrauch wird eine Verletzung des Nutzungsreglements<br />
verstanden. Die Sanktionen gemäss § 5.8 dieses Reglements können ergriffen werden.<br />
Erhärtet sich ein Missbrauchsverdacht nicht, so stellt unsere Firma die n<strong>am</strong>entliche Auswertung der Protokollierung<br />
sofort ein.<br />
Hier hat die Firma anzugeben, wer für die n<strong>am</strong>entliche Auswertung der Protokollierung zuständig ist. In<br />
der Regel <strong>über</strong>nimmt der Datenschutzberater der Firma diese Funktion (vgl. Anhang B 3).<br />
Wenn eine Straftat durch Auswertung der Protokollierungen oder durch andere Hinweise festgestellt oder<br />
vermutet wird, sichert unsere Firma die entsprechenden Protokollierungen. Sie behält sich das Recht<br />
vor, Anzeige gegen die betroffene Person zu erstatten. Das weitere Vorgehen ist Sache der zuständigen<br />
Strafjustizbehörde. Unsere Firma verpflichtet sich, das Resultat der Ermittlungen gegen<strong>über</strong> unberechtigten<br />
Dritten, insbesondere gegen<strong>über</strong> den anderen Mitarbeitern, vertraulich zu behandeln.<br />
37/42
Der Entscheid, ob Anzeige erstattet wird oder nicht, liegt bei den Vorgesetzten, nicht bei den Informatikdiensten.<br />
Es besteht keine Anzeigepflicht. Es ist jedoch empfehlenswert, zumindest im Zus<strong>am</strong>menhang<br />
mit Offizialdelikten, Anzeige zu erstatten, um die Gefahr der Mittäterschaft zu verhindern.<br />
C.5.3 <strong>Überwachung</strong> im Rahmen der Gewährleistung der Sicherheit <strong>und</strong> Funktionstüchtigkeit<br />
des betrieblichen EDV-Systems oder aufgr<strong>und</strong> anderer Hinweise<br />
Manifestiert sich eine Störung des EDV-Systems trotz technischen Schutzmassnahmen, können bei der<br />
Suche nach deren Ursache die Protokollierungen beigezogen werden.<br />
Stellt die Ursache der Störung einen Missbrauch dar, kann der identifizierte Mitarbeiter gemäss § 5.8<br />
dieses Reglements sanktioniert werden.<br />
Stellt man einen Missbrauch fest oder entsteht ein Missbrauchsverdacht durch andere Hinweise, können<br />
falls nötig die entsprechenden Protokollierungen oder deren Auswertungen beigezogen werden. Bei erwiesenem<br />
Missbrauch können die Sanktionen gemäss § 5.8 dieses Reglements ergriffen werden.<br />
C.5.4 Unterscheidung zwischen private <strong>und</strong> geschäftliche E-<strong>Mail</strong>s<br />
Private E-<strong>Mail</strong>s sind von den internen <strong>und</strong> externen Absendern durch die Vermerkoption «privat» zu<br />
kennzeichnen.<br />
Die Einsichtnahme <strong>und</strong> weitere Bearbeitung von E-<strong>Mail</strong>s, welche als «privat» gekennzeichnet sind, bleibt<br />
unserer Firma verwehrt.<br />
Wenn kein Unterscheidungsvermerk zwischen privaten <strong>und</strong> geschäftlichen E-<strong>Mail</strong>s besteht <strong>und</strong> die private<br />
Natur eines E-<strong>Mail</strong>s aufgr<strong>und</strong> der Adressierungselemente nicht erkennbar <strong>und</strong> nicht anzunehmen<br />
ist, darf unsere Firma davon ausgehen, dass das E-<strong>Mail</strong> geschäftlich ist. Bestehen Zweifel <strong>über</strong> die Natur<br />
eines E-<strong>Mail</strong>s, ist sie mit dem Angestellten zu klären. Interne <strong>und</strong> externe Absender sind dar<strong>über</strong><br />
ausdrücklich zu informieren.<br />
Für einen besseren Schutz privater E-<strong>Mail</strong>s empfiehlt die Firma, einen webbasierten, verschlüsselten E-<br />
<strong>Mail</strong>-Dienst zu benutzen.<br />
Ob internetbasierte, verschlüsselte E-<strong>Mail</strong>-Dienste <strong>über</strong>haupt benutzt werden dürfen, hängt vom Nutzungsreglement<br />
ab. Ist die private <strong>Internet</strong>nutzung verboten, so fällt diese Möglichkeit weg.<br />
Die Firma kann auch zur besseren Unterscheidung zwischen privaten <strong>und</strong> geschäftlichen E-<strong>Mail</strong>s die<br />
n<strong>am</strong>enlose, funktionelle Adressierung für die Geschäftskorrespondenz einführen (vgl. Kapitel 8.5.2).<br />
C.5.5 Die <strong>Überwachung</strong> des geschäftlichen E-<strong>Mail</strong>-Verkehrs<br />
Unsere Firma hat das Recht, die geschäftlichen E-<strong>Mail</strong>s zu protokollieren <strong>und</strong> bei Bedarf zu sichern.<br />
Die Protokollierung der geschäftlichen E-<strong>Mail</strong>s betrifft u. a. die Betreffzeile, Datum, Zeit, Absender- <strong>und</strong><br />
Empfängeradressen.<br />
38/42
C.5.6 Die E-<strong>Mail</strong>-Verwaltung bei Abwesenheiten eines Mitarbeiters<br />
Bei Abwesenheiten definiert der Mitarbeiter einen Stellvertreter mit abgestufter Berechtigung zur Einsicht<br />
<strong>und</strong> Weiterbearbeitung der geschäftlichen, eingehenden e-<strong>Mail</strong>s.<br />
Die als «privat gekennzeichneten E-<strong>Mail</strong>s sind für den Stellvertreter nicht sichtbar.<br />
Die externen Absender müssen informiert werden, dass private E-<strong>Mail</strong>s als solche zu kennzeichnen<br />
sind, ansonsten sie durch den Stellvertreter eingesehen werden können.<br />
C.5.7 Die E-<strong>Mail</strong>-Verwaltung beim Austritt eines Mitarbeiters<br />
Vor dem Austritt hat der Mitarbeiter die noch hängigen Geschäfte wie E-<strong>Mail</strong>s intern weiterzuleiten.<br />
Der Mitarbeiter hat die Übergabe sämtlicher Geschäftsdokumente an die Firma zu bestätigen.<br />
Der austretende Mitarbeiter hat die Möglichkeit, seine privaten E-<strong>Mail</strong>s <strong>und</strong> andere Dokumente auf private<br />
Datenträger zu speichern <strong>und</strong> aus den Servern der Firma zu löschen.<br />
Beim Austritt (oder Todesfall) ist spätestens <strong>am</strong> letzten Arbeitstag sein E-<strong>Mail</strong>-Account (wie übrigens<br />
auch alle anderen EDV-Accounts) zu sperren <strong>und</strong> sein Briefkasten (wie alle anderen persönlichen Datenträger)<br />
zu löschen.<br />
Absender, welche E-<strong>Mail</strong>s an die gesperrte E-<strong>Mail</strong>-Adresse schicken, werden automatisch informiert,<br />
dass die Empfängeradresse hinfällig ist. In der automatischen Antwort wird eine geeignete Ersatz-E-<br />
<strong>Mail</strong>-Adresse der Firma angegeben.<br />
C.5.8 Sanktionen bei Missbrauch<br />
Wenn die Voraussetzungen <strong>und</strong> die Regeln der <strong>Überwachung</strong> eingehalten worden sind, kann die Firma<br />
im Falle eines erwiesenen Missbrauchs arbeitsrechtliche Sanktionen gegen den fehlbaren Mitarbeiter<br />
aussprechen.<br />
Hier hat das Unternehmen die Sanktionen aufzulisten, die es im Falle eines Missbrauchs zu treffen gedenkt.<br />
In Frage kommen z. B. Abmahnungen, Sperrungen des <strong>Internet</strong>zugriffs, Schadenersatzforderungen,<br />
Streichung von Sonderprämien, usw. [vgl. dazu Kapitel 10 unseres <strong>Leitfaden</strong>s]. In extremen Fällen,<br />
wie bei wiederholtem Missbrauch mit technischer Störung trotz Abmahnung oder bei erwiesenen Straftaten<br />
kann der Arbeitgeber sogar die Entlassung aussprechen. Die fristlose Entlassung eines Arbeitnehmers<br />
kann nur ausgesprochen werden, wenn dem Arbeitgeber nach Treu <strong>und</strong> Glauben die Fortsetzung<br />
des Arbeitsverhältnisses nicht mehr zugemutet werden kann. Die Sanktionen müssen der Schwere des<br />
jeweiligen Missbrauches angepasst <strong>und</strong> in ihrem Umfang bereits in diesem <strong>Überwachung</strong>sreglement<br />
bestimmt sein.<br />
Vor einer Löschung missbräuchlich erworbenen Dateien werden die betroffenen Arbeitnehmer informiert<br />
<strong>und</strong> es wird ihnen die Möglichkeit gegeben, die betreffenden Dateien, z. B. E-<strong>Mail</strong>s, auf privaten Datenträgern<br />
zu speichern.<br />
39/42
C.5.9 Ansprüche des Mitarbeiters bei unzulässiger <strong>Überwachung</strong> durch die Firma<br />
Bei Verletzung der Voraussetzungen <strong>und</strong> Regeln der <strong>Überwachung</strong> der Surf- <strong>und</strong> E-<strong>Mail</strong>-Aktivitäten,<br />
stehen dem betroffenen Mitarbeiter die zivilrechtlichen Ansprüche wegen Persönlichkeitsverletzung zu<br />
(vgl. Art. 28 ff ZGB).<br />
Der betroffene Arbeitnehmer kann im Falle einer missbräuchlichen <strong>Überwachung</strong> durch die Firma auch<br />
strafrechtliche Mittel ergreifen. Zu denken ist insbesondere an die Anzeige wegen Verletzung des Geheim-<br />
oder Privatbereiches durch Aufnahmegeräte (Art. 179 quater StGB) oder wegen unbefugten Beschaffens<br />
von Personendaten (Art. 179 novies StGB).<br />
C.5.10 Weitere Bestimmungen<br />
Unsere Firma schult regelmässig die Mitarbeiter <strong>über</strong> die Risiken im Zus<strong>am</strong>menhang mit der Benutzung<br />
von <strong>Internet</strong> <strong>und</strong> E-<strong>Mail</strong>.<br />
Sowohl die Informatikdienste als auch die Vorgesetzten unserer Firma haben die Personendaten, die sie<br />
im Zus<strong>am</strong>menhang mit einer <strong>Überwachung</strong> bearbeiten, durch angemessene technische Massnahmen<br />
gegen unbefugte Zugriffe zu schützen.<br />
Sie sorgen insbesondere für die Vertraulichkeit, die Verfügbarkeit <strong>und</strong> die Integrität der Personendaten.<br />
Der Arbeitnehmer darf von der Firma jederzeit Auskunft dar<strong>über</strong> verlangen, ob <strong>und</strong> welche Daten <strong>über</strong><br />
ihn bearbeitet werden.<br />
Personendaten dürfen nicht ohne Einwilligung der betroffenen Personen oder einen anderen Rechtfertigungsgr<strong>und</strong><br />
an unberechtigte Dritte bekannt gegeben werden. Die Arbeitskollegen der betroffenen Person<br />
gelten als Dritte.<br />
Der Firma obliegt keine gesetzliche Aufbewahrungspflicht im Zus<strong>am</strong>menhang mit Protokollierungen. Zu<br />
Beweissicherungszwecken dürfen die Protokollierungen für eine beschränkte Zeit, in der Regel nicht<br />
länger als vier Wochen, aufbewahrt werden.<br />
Die Aufbewahrungsdauer hängt vom Zweck der Protokollierung ab. Im Rahmen von Sanktionsverfahren<br />
oder Strafverfolgungen dürfen sie bis zum Ablauf der entsprechenden Rechtsmittelfristen aufbewahrt<br />
werden.<br />
40/42
Anmerkungen<br />
1 URL: Uniform Resource Locator wie z. B. http://www.unerwuenscht.ch.<br />
2 Duden Informatik, 2. Auflage, Mannheim, Leipzig, Zürich, Wien, 1993.<br />
3 Z. B. das Progr<strong>am</strong>m Stripes.exe bei MS-DOS.<br />
4 Vgl. dazu auch <strong>Leitfaden</strong> des Eidg. Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragten <strong>über</strong> die technischen<br />
<strong>und</strong> organisatorischen Massnahmen.<br />
5 Service Pack, Service Release, Hotfixes, Patches, usw.<br />
6 Z. B. Cookies ablehnen oder Javascript ausschalten, um E-<strong>Mail</strong>-Wiretaps (Abhörung) zu verhindern.<br />
7 Die Firewall kann mit der sogenannten Network Address Translation NAT die persönlichen IP-<br />
Adressen durch eine öffetliche Firmen-IP-Adresse ersetzen, <strong>und</strong> somit einen Hackerangriff von aussen<br />
verhindern.<br />
8 Http, ftp, telnet, nntp, smtp, etc.<br />
9 Ghost Keylogger, WinWhatWhere Investigator, PC Activity Monitor, usw.<br />
10 Beim Schliessen des <strong>Internet</strong>-Browsers werden die Protokollierungsprogr<strong>am</strong>me nicht informiert.<br />
11 Motion Fritz Reimann vom 12. Dezember 1984 betreffend Persönlichkeitsschutz des Arbeitnehmers.<br />
12 Vgl. auch schriftliche Beantwortung der Motion durch den Nationalrat <strong>am</strong> 20. Februar 1985 sowie<br />
Bemerkungen des Wegleitungsentwurfes zu Art. 26 ArGV 3.<br />
13 Auch die Entstehungsarbeiten zu Art. 26 ArGV 3 wiesen im Zus<strong>am</strong>menhang mit der Telefon<strong>über</strong>wachung<br />
zu Recht darauf hin, dass erst bei einem konkreten Missbrauch die vollständigen Randdaten des<br />
Telefonverkehrs personenbezogen ausgewertet werden dürfen.<br />
14 Vgl. dazu <strong>Leitfaden</strong> des Eidg. Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragten <strong>über</strong> die technischen <strong>und</strong><br />
organisatorischen Massnahmen.<br />
15 Vgl. 9. Tätigkeitsbericht des Eidg. Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragten, 2001/02, Kapitel<br />
2.2.1, S. 19ff. insb. S. 21.<br />
16 Wird bspw. ein wiederholtes Zugriff auf die Homepage einer Zeitung durch das gleiche Pseudonym<br />
festgestellt, klärt man durch n<strong>am</strong>entliche Auswertung ab, ob die betreffende Person zugriffsberechtigt<br />
war. Je nach beruflicher Funktion (z. B. Presseverantwortlicher) kann der Zugriff gerechtfertigt sein.<br />
17 Vgl. 5. Tätigkeitsbericht des Eidg. Datenschutz- <strong>und</strong> Öffentlichkeitsbeauftragten, 1997/98, S. 42/178.<br />
18 Die Verschlüsselung kann bspw. durch Benutzung von PGP-Software (Pretty Good Privacy) oder<br />
webbasierter E-<strong>Mail</strong>-Dienste wie Hushmail.com gewährleistet werden, wobei ein vollständiger Schutz<br />
nur erreicht wird, wenn sowohl Absender wie auch Empfänger einen verschlüsselten E-<strong>Mail</strong>-Dienst benutzen.<br />
41/42
19 Beispiel einer Austrittserklärung des Arbeitnehmers: «Ich bestätige hiermit, dass ich alle Eigentümer<br />
der Firma, inkl. geistige Eigentümer, sowohl physischer als auch elektronischer Art, zurückgegeben habe».<br />
20 Die Spezialisten beraten Untersuchungsbehörden im Bereich Computerkriminalität <strong>und</strong> computergestützter<br />
Kriminalität. Vorermittlungen, <strong>und</strong> technische <strong>Überwachung</strong>smassnahmen werden von Ihnen in<br />
Funktion eines Sachverständigen unter richterlicher Einbindung in das Amtsgeheimnis begleitet. Dabei<br />
sind die Spezialisten für die gerichtsverwertbare Beweissicherung von digital gespeicherten Daten verantwortlich.<br />
In Form eines Gutachtens erstatten Sie der Untersuchungsbehörde Bericht <strong>über</strong> Ihre Analysen<br />
<strong>und</strong> geben Empfehlungen ab. Sie tragen dabei eine sehr hohe Verantwortung <strong>und</strong> können Ihre Ergebnisse<br />
auch vor Gericht vertreten.<br />
21 Vgl. Brunner, Waeber in «Commentaire du contrat de travail», Schweizerischer Gewerkschaftsb<strong>und</strong>,<br />
Lausanne 1996, S. 42ff<br />
42/42